Miljoenen sites werken volgend jaar niet meer op oude Androidtelefoons
Miljoenen websites zullen volgend jaar niet meer op oude Androidtelefoons en andere apparaten met een oude Androidversie werken, tenzij deze gebruikers Firefox installeren of de webmasters een andere certificaatautoriteit kiezen. Dat laat certificaatautoriteit Let's Encrypt weten. Het probleem is dat op 1 september 2021 een rootcertificaat waar Let's Encrypt gebruik van maakt vervalt.
Meer dan tweehonderd miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Vijf jaar geleden begon Let's Encrypt als certificaatautoriteit. Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte het gebruik van een cross-signature van IdenTrust.
Het rootcertificaat van IdenTrust, DST Root X3, werd al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.
Oudere software, waaronder Androidversies voor versie 7.1.1, hebben echter nooit een update ontvangen om het nieuwe Let's Encrypt-rootcertificaat te vertrouwen. Nu is dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verloopt echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zullen dan niet meer op deze toestellen werken, wat inhoudt dat ze de website niet kunnen bezoeken, zo waarschuwt de certificaatautoriteit.
Zo'n 33 procent van de Androidgebruikers zit nog op een versie voor Android 7.1.1. Die zullen wanneer het DST Root X3-certificaat komt te vervallen bij miljoenen websites een certificaatwaarschuwing krijgen. Let's Encrypt waarschuwt nu zowel websites als Androidgebruikers om in actie te komen. Voor websites die ook met oude Androidtoestellen moeten kunnen blijven werken is het mogelijk nodig om op een andere certificaatautoriteit over te stappen.
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren. Firefox beschikt, in tegenstelling tot veel andere browsers die de root store van het besturingssysteem gebruiken, over een eigen root store met rootcertificaten, waaronder het ISRG Root X1-certificaat. Zodoende kunnen ook gebruikers van oude Androidtoestellen volgend jaar september nog steeds websites met Let's Encrypt-certificaten blijven bezoeken.
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Wie houdt bij en bepaald welke certificaten te vertrouwen zijn en welke niet?
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Er zijn straks hele volksstammen die niet weten wat ze moeten doen als de "app" (website) op hun telefoon het niet meer doet.
Certificaten zijn een ver-van-mijn-bed show voor gebruikers. Dus de mensen die ze met deze melding willen bereiken, bereiken ze niet.
Wat jij probeert te doen, is al een brug te ver voor ze.
Idem een nieuwe browser gaan gebruiken.
Hiervoor moet gewoon een update uitgerold worden op die oude toestellen.
Google en fabrikanten blijven maar weg komen met dit soort zaken. En dus veranderd er niets.
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Je mist niets! Zij (incl. blijkbaar redactie) missen het! Zie quote uit artikel hieronder voor het volledige verhaal.
Gedetailleerde instructies om het certificaat te downloaden bij Let's Encrypt en te installeren achter de link.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
