Разработчики предупреждают, что начиная с 8 февраля 2024 года сертификаты Let’s Encrypt перестанут работать в Android 7 и более старых версиях мобильной ОС.
Создатели Let’s Encrypt вернулись к проблеме старых Android-устройств, о которой впервые заговорили еще в 2020 году.
Разработчики напоминают, что после запуска сервиса им нужно было убедиться, что сертификаты Let’s Encrypt пользуются широким доверием. С этой целью была организована перекрестная подпись промежуточных сертификатов с IdenTrust DST Root X3. Это означало, что все сертификаты, выданные опосредованно, так же будут доверенными, даже если собственный ISRG Root X1 компании таковым еще не был.
Проблемы начались, когда выяснилось, что в конце 2021 года истекает срок действия промежуточных сертификатов с перекрестными подписями, а также срок партнерства между Let's Encrypt и организацией IdenTrust, и продлять его не планировалось.
Хотя современные браузеры на тот момент уже доверяли корневому сертификату Let's Encrypt, более трети всех Android-устройств по-прежнему работали под управлением старых версий ОС, которые могли внезапно перестать доверять сайтам, использующим сертификаты Let's Encrypt.
В итоге предполагалось, что осенью 2021 года пользователи старых устройств начнут массово испытывать сложности с доступом к сайтам, а также получать сообщения об ошибках сертификатов. Тогда инженеры Let's Encrypt подсчитали, что на таких пользователей приходится примерно 1-5% всего трафика.
Так как подобный глобальный сбой был недопустим, в компании решили проблему, организовав новую перекрестную подпись, которая должна была прослужить дольше самого DST Root CA X3. Эта временная мера позволила старым устройствам на базе Android продолжать доверять сертификатам компании еще три года. Однако срок вновь истекает 30 сентября 2024 года.
Как пишут теперь разработчики, за последние три года процент устройств на Android, которые доверяют ISRG Root X1, вырос с 66% до 93,9%. Ожидается, что этот процент еще увеличится в течение следующего года, особенно когда выйдет Android 14, где появится возможность обновить корневые сертификаты без полного обновления ОС.
Так как продолжать поддерживать совместимость более не нужно (и это поможет компании значительно снизить операционные расходы), в Let's Encrypt сообщают, что в период с 8 февраля 2024 года по 30 сентября 2024 года будет проведен отказ от старой перекрестной подписи. Из-за этого у владельцев старых устройств, работающих под управлением Android 7 и более старых версий операционной системы, возникнут проблемы.
«Если вы используете Android 7.0 или более раннюю версию ОС, вам может потребоваться принять меры, чтобы обеспечить себе доступ к сайтам, защищенным сертификатами Let's Encrypt. Мы рекомендуем установить и использовать Firefox Mobile, который использует собственное хранилище доверенных сертификатов вместо хранилища доверенных сертификатов ОС Android и, следовательно, доверяет ISRG Root X1», — пишут разработчики.
Владельцам сайтов, которые могут заметить падение трафика во втором и третьем кварталах 2024 года, рекомендуется дать своим посетителям такой же совет: использовать Firefox Mobile или обновить устройство.