Миллионы сайтов в 2021 году станут недоступны на устаревших Android-устройствах. Все дело в корневых сертификатах безопасности DST Root X1: организация Let's Encrypt перестанет их подписывать.
Переход на HTTPS
В течение нескольких лет интернет-сайты массово переходили с протокола HTTP на более защищенный HTTPS. Эти изменения активно поддерживала корпорация Google – и они отразились в новых версиях Android.
Но в 2021 году владельцы гаджетов со старыми версиями Android не смогут получить полноценный доступ ко многим HTTPS-сайтам. Ресурсы либо не откроются вовсе, либо загрузятся не полностью, потому что на старых Android-устройствах не будет необходимого корневого сертификата безопасности.
Сертификаты имеют определенный срок годности. Как только он истекает, сертификат становится недействительным. Чтобы система продолжила работать, электронный документ нужно переподписать.
Проблемы с подписью
Let's Encrypt – один из ведущих мировых центров сертификации в интернете. Выданные здесь электронные документы используют около 30% всех веб-доменов.
На заре своей работы Let's Encrypt подал заявку на включение своего корневого сертификата ISRG Root X1 во все браузеры и операционные системы. Кроме того, большинство актуальных сертификатов также имеют перекрестную подпись с корневым сертификатом DST Root X3 другого удостоверяющего центра, IdenTrust. Этот документ используют Windows, macOS, Android и другие программные платформы.
Партнерский договор между Let's Encrypt и IdenTrust истекает 1 сентября 2021 года, и центр сертификации не планирует заключать еще одно соглашение. Вместо модели с перекрестным предоставлением сертификатов Let's Encrypt будет формировать подписи только на базе собственного корневого сертификата ISRG Root X1.
В результате браузеры и операционные системы без корневого сертификата Let's Encrypt больше не смогут работать с сайтами и службами, использующими сертификаты этого центра. И это, в первую очередь, устройства под управлением Android 7.1 или более ранних версий – а их около 30% от общего числа.
В Let's Encrypt также заявили, что центр прекратит автоматически ставить перекрестные подписи уже с 11 января 2021 года. Сайты и сервисы смогут получить сертификаты с перекрестной подписью по запросу, но только до 1 сентября.
Что можно сделать
Самый простой обходной путь для устаревших устройств Android – установить браузер Firefox. Он использует собственное хранилище сертификатов, включающее корневой каталог с сертификатами ISRG.
Другой путь – обновить ОС. В Android 8 и старше поддержка сертификата безопасности встроена по умолчанию. Правда, производители редко предоставляют официальные обновления для старых устройств.
Наконец, можно купить другой смартфон или планшет. Android 7.1 вышла в 2016 году, и с тех пор и гаджеты, и ОС стали гораздо быстрее, удобнее и функциональнее.