Разработчики Let's Encrypt предупредили, что в 2021 году серьезные проблемы с сертификатами и доступом к сайтам могут возникнуть у пользователей устройств, работающих под управлением Android 7.1 (Nougat) и более старых версий ОС. К сожалению, таких старых девайсов в экосистеме Android по-прежнему насчитывается около 34%.
Проблема в том, что 1 сентября 2021 года истекает срок партнерства между Let's Encrypt и организацией IdenTrust, и продлять его не планируют. Это означает, что корневой сертификат Let's Encrypt, имеющий перекрестную подпись с IdenTrust DST Root X3, тоже истечет 1 сентября 2021 года.
Это не вызовет каких-либо неполадок в большинстве современных ОС, ведь Let's Encrypt уже давно имеет собственный корневой сертификат ISRG Root X1, и большинство операционных систем и браузеров могут работать с ним. Однако это не касается старых версий Android, не обновлявшихся с 2016 года. Они не доверяют собственному корневому сертификату Let's Encrypt, и это, скорее всего, вызовет проблемы в работе таких девайсов.
Ожидается, что осенью 2021 года пользователи старых устройств начнут испытывать сложности с доступом к сайтам и получать сообщения об ошибках сертификатов. Инженеры Let's Encrypt подсчитали, что на таких пользователей приходится примерно 1-5% всего трафика.
«Что мы можем сделать с этим? Что ж, мы хотели бы иметь возможность улучшить ситуацию с обновлениями Android, но здесь мы ничего не можем поделать. Также мы не можем позволить себе купить новые телефоны всем в мире, — пишет Джейкоб Хоффман-Эндрюс, ведущий разработчик Let's Encrypt. — Можем ли мы получить еще одну перекрестную подпись? Мы изучали этот вариант, и он кажется маловероятным. Это большой риск для центра сертификации — перекрестная подпись сертификата другого центра, ведь таким образом они берут на себя ответственность за все, что делает другой центр сертификации».
В итоге разработчики Let's Encrypt советуют пользователям старых устройств готовиться к возможным проблемам и хотя бы установить мобильную версию Firefox, так как этот браузер имеет собственный список доверенных корневых сертификатов, а не полагается на список ОС. Также, в теории, можно вручную установить необходимые сертификаты на старое устройство.