image

Miljoenen sites werken volgend jaar niet meer op oude Androidtelefoons

maandag 9 november 2020, 12:40 door Redactie, 8 reacties

Miljoenen websites zullen volgend jaar niet meer op oude Androidtelefoons en andere apparaten met een oude Androidversie werken, tenzij deze gebruikers Firefox installeren of de webmasters een andere certificaatautoriteit kiezen. Dat laat certificaatautoriteit Let's Encrypt weten. Het probleem is dat op 1 september 2021 een rootcertificaat waar Let's Encrypt gebruik van maakt vervalt.

Meer dan tweehonderd miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Vijf jaar geleden begon Let's Encrypt als certificaatautoriteit. Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte het gebruik van een cross-signature van IdenTrust.

Het rootcertificaat van IdenTrust, DST Root X3, werd al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.

Oudere software, waaronder Androidversies voor versie 7.1.1, hebben echter nooit een update ontvangen om het nieuwe Let's Encrypt-rootcertificaat te vertrouwen. Nu is dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verloopt echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zullen dan niet meer op deze toestellen werken, wat inhoudt dat ze de website niet kunnen bezoeken, zo waarschuwt de certificaatautoriteit.

Zo'n 33 procent van de Androidgebruikers zit nog op een versie voor Android 7.1.1. Die zullen wanneer het DST Root X3-certificaat komt te vervallen bij miljoenen websites een certificaatwaarschuwing krijgen. Let's Encrypt waarschuwt nu zowel websites als Androidgebruikers om in actie te komen. Voor websites die ook met oude Androidtoestellen moeten kunnen blijven werken is het mogelijk nodig om op een andere certificaatautoriteit over te stappen.

Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren. Firefox beschikt, in tegenstelling tot veel andere browsers die de root store van het besturingssysteem gebruiken, over een eigen root store met rootcertificaten, waaronder het ISRG Root X1-certificaat. Zodoende kunnen ook gebruikers van oude Androidtoestellen volgend jaar september nog steeds websites met Let's Encrypt-certificaten blijven bezoeken.

Reacties (8)
09-11-2020, 13:02 door Anoniem
Het wordt tijd dat er een apart protocol komt waarmee rootcertificaten op een software- en OS onafhankelijke manier kunnen
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
09-11-2020, 13:19 door Anoniem
Bericht van 1 movember: https://www.security.nl/posting/676220/Chrome+krijgt+binnenkort+eigen+Root+Store+voor+tls-certificaten
09-11-2020, 13:27 door Anoniem
Dit zal dan niet alleen voor lets-encrypt gelden. Welke root-certificaten gaan er nog meer verlopen op welke datum in de oudere-niet-meer-gepatchte Android versies? Is hier ergens een mooi lijstje van op het grote internet te vinden?
09-11-2020, 13:36 door Briolet
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren

Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.

Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
09-11-2020, 14:52 door Anoniem
Door Anoniem: Het wordt tijd dat er een apart protocol komt waarmee rootcertificaten op een software- en OS onafhankelijke manier kunnen
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).

Wie houdt bij en bepaald welke certificaten te vertrouwen zijn en welke niet?
09-11-2020, 15:10 door Anoniem
Door Briolet:
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren

Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.

Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?

Er zijn straks hele volksstammen die niet weten wat ze moeten doen als de "app" (website) op hun telefoon het niet meer doet.
Certificaten zijn een ver-van-mijn-bed show voor gebruikers. Dus de mensen die ze met deze melding willen bereiken, bereiken ze niet.

Wat jij probeert te doen, is al een brug te ver voor ze.
Idem een nieuwe browser gaan gebruiken.

Hiervoor moet gewoon een update uitgerold worden op die oude toestellen.
Google en fabrikanten blijven maar weg komen met dit soort zaken. En dus veranderd er niets.
09-11-2020, 15:38 door Anoniem
Als het maar werkt op een computer. Met een telefoon hoef je alleen maar te kunnen bellen.
10-11-2020, 09:26 door [Account Verwijderd] - Bijgewerkt: 10-11-2020, 09:30
Door Briolet:
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren

Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.

Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?

Je mist niets! Zij (incl. blijkbaar redactie) missen het! Zie quote uit artikel hieronder voor het volledige verhaal.

https://www.stoutner.com/lets-encrypt-isrg-root-x1-and-privacy-browser/ Curiously, they failed to mention that users can also just import the ISRG Root X1 certificate into the trusted store of their OS, which will fix the problem for all browsers, including Privacy Browser.

Gedetailleerde instructies om het certificaat te downloaden bij Let's Encrypt en te installeren achter de link.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.