Segurança - Let´s Encrypt nos celulares antigos
Celulares Android antigos terão problemas com vários sites em 2021
Em 2021, certificados HTTPS emitidos pela Let's Encrypt deixarão de ser reconhecidos em aparelhos com Android antigo
A vida de quem usa um celular Android antigo poderá ficar mais complicada a partir de 2021. A Let’s Encrypt, uma das maiores autoridades certificadoras do mundo, não irá renovar a parceria que permite que seus certificados HTTPS funcionem com dispositivos baseados no Android 7.1.1 ou anterior. Isso significa que milhões de sites poderão ficar inacessíveis nesses aparelhos.
HTTPS (imagem: Paulo Higa)
Hoje, a grande maioria dos sites tem HTTPS. A adoção desse recurso ganhou força depois que o Google passou a sinalizar páginas HTTP como não seguras no Chrome. Além disso, o certificado virou critério de classificação nas buscas: se duas páginas tiverem conteúdo equivalente, a que tiver HTTPS terá mais chances de aparecer em posição privilegiada nos resultados.
Em fevereiro de 2020, a Let’s Encrypt comemorou a marca de 1 bilhão de certificados SSL/TLS emitidos para habilitação de HTTPS. A iniciativa não tem fins lucrativos e, por isso, não cobra pelo serviço. Não surpreende, portanto, que 192 milhões de sites se beneficiem dos certificados emitidos pela organização. Isso com base nos números de fevereiro.
2015 marcou o início das operações efetivas da iniciativa. Naquele ano, a Let’s Encrypt obteve o seu primeiro certificado raiz, o ISRG Root X1. Esse certificado é usado para assinar os certificados intermediários Let’s Encrypt Authority X1 e Let’s Encrypt Authority X2 que, por sua vez, são usados para emitir os certificados que a organização fornece gratuitamente.
Os certificados Let’s Encrypt Authority X1 e Let’s Encrypt Authority X2 também são assinados pelo certificado DST Root X3, da IdenTrust, outra autoridade certificadora.
Como o certificado da IdenTrust já era reconhecido pelos principais sistemas operacionais e navegadores do mercado, a Let’s Encrypt fechou uma parceria de assinatura cruzada com a organização para facilitar a aceitação de seus próprios certificados.
Emissão de certificado Let’s Encrypt (diagrama: Let’s Encrypt)
Só que a parceria entre Let’s Encrypt e IdenTrust vai expirar em 1º de setembro de 2021 e não será renovada. Na verdade, a Let’s Encrypt começará o processo de encerramento da assinatura cruzada muito antes, em 11 de janeiro de 2021. O plano da organização é trabalhar exclusivamente com o seu próprio certificado raiz, afinal, ele já é amplamente aceito.
Mas a própria Let’s Encrypt alerta que essa mudança pode causar um problema de compatibilidade. Softwares não atualizados desde 2016, quando os certificados da entidade passaram a ser amplamente adotados, reconhecem o certificado raiz da IdenTrust, mas não o da Let’s Encrypt.
Isso significa que, com o fim da assinatura cruzada, milhões de sites com certificados da Let’s Encrypt deixarão de ser carregados corretamente em dispositivos antigos, sobretudo naqueles baseados no Android 7.1.1 ou anterior. Estima-se que 33,8% dos aparelhos Android ativos atualmente poderão ser afetados.
Problema sem solução
Não há solução trivial para esse problema. Pelo menos por ora, a Let’s Encrypt descarta outro acordo de assinatura cruzada por entender que esse tipo de parceria implica em uma autoridade certificadora ter que assumir responsabilidade pelo o que a outra faz.
Em nota, a organização também afirma que “se nos comprometermos a oferecer suporte a versões antigas do Android, nos comprometeremos a buscar assinatura cruzada com outras autoridades indefinidamente”.
Até o momento, a única solução apontada pela Let’s Encrypt para quem tem um celular com Android antigo é a instalação do Firefox que, por usar um sistema de armazenamento próprio de certificados, já reconhece o ISRG Root X1. O problema é que esse é só um paliativo. O Firefox não impedirá problemas de compatibilidade relacionados a outros softwares.
fonte: https://tecnoblog.net/382297/lets-encrypt-fim-assinatura-cruzada-https-problemas-android-antigo/
----------------------
Aparelhos Android antigos não terão suporte a uma grande parte da web em 2021
Se você está navegando em um celular Android mais antigo, pode ser hora de trocar de aparelho. Uma das principais autoridades de certificação do mundo alerta que telefones com versões do Android anteriores ao 7.1.1 Nougat serão cortados de grande parte da web segura a partir de 2021, informou o Android Police no sábado.
A organização sem fins lucrativos Let’s Encrypt, parceira da Mozilla, disse que sua parceria com a autoridade de certificação IdenTrust expirará em 1º de setembro de 2021. Como não tem planos de renovar seu contrato de assinatura cruzada, a Let’s Encrypt planeja encerrar a assinatura cruzada padrão para o certificado raiz do IdenTrust, DST Root X3, começando em 11 de janeiro, quando a organização passará a usar somente sua própria raiz, ISRG Root X1.
É uma mudança bastante significativa, considerando que até um terço de todos os domínios da web dependem dos certificados da organização. Como observa o Android Police, grande parte da web hoje usa o HTTPS para transmitir informações de forma segura, mas sites podem ter problemas de funcionalidade ou carregamento caso os certificados apropriados não estejam instalados no aparelho do usuário.
Como softwares mais antigos não confiam no certificado raiz do Let’s Encrypt, isso pode “introduzir alguns problemas de compatibilidade”, disse o desenvolvedor principal, Jacob Hoffman-Andrews, em uma publicação na sexta-feira.
“Alguns softwares que não são atualizados desde 2016 (aproximadamente quando nossa raiz foi aceita por muitos programas raiz) ainda não confiam em nosso certificado raiz, ISRG Root X1”, disse ele. “Mais notavelmente, isso inclui versões do Android anteriores a 7.1.1. Isso significa que as versões mais antigas do Android não confiarão mais nos certificados emitidos pelo Let’s Encrypt.”
A única solução alternativa para esses usuários seria instalar o Firefox, pois ele se baseia em seu próprio armazenamento de certificados, que inclui a raiz do Let’s Encrypt, embora isso não impeça que aplicativos quebrem ou garanta funcionamento de outros programas além do seu navegador.
A Let’s Encrypt observou que aproximadamente 34% dos dispositivos Android rodam uma versão anterior à 7.1, de acordo com os dados do pacote de desenvolvimento Android do Google. Isso se traduz em milhões de usuários potencialmente sendo cortados de grandes porções da web segura a partir de 2021. Em suma, se você está de olho em novos telefones neste período de festas de fim de ano, pode valer a pena gastar um pouco apenas para evitar uma dor de cabeça mais tarde.
fonte: https://gizmodo.uol.com.br/aparelhos-android-antigos-excluidos-web/
