Miljoenen sites werken volgend jaar niet meer op oude Androidtelefoons
Miljoenen websites zullen volgend jaar niet meer op oude Androidtelefoons en andere apparaten met een oude Androidversie werken, tenzij deze gebruikers Firefox installeren of de webmasters een andere certificaatautoriteit kiezen. Dat laat certificaatautoriteit Let's Encrypt weten. Het probleem is dat op 1 september 2021 een rootcertificaat waar Let's Encrypt gebruik van maakt vervalt.
Meer dan tweehonderd miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Vijf jaar geleden begon Let's Encrypt als certificaatautoriteit. Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte het gebruik van een cross-signature van IdenTrust.
Het rootcertificaat van IdenTrust, DST Root X3, werd al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.
Oudere software, waaronder Androidversies voor versie 7.1.1, hebben echter nooit een update ontvangen om het nieuwe Let's Encrypt-rootcertificaat te vertrouwen. Nu is dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verloopt echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zullen dan niet meer op deze toestellen werken, wat inhoudt dat ze de website niet kunnen bezoeken, zo waarschuwt de certificaatautoriteit.
Zo'n 33 procent van de Androidgebruikers zit nog op een versie voor Android 7.1.1. Die zullen wanneer het DST Root X3-certificaat komt te vervallen bij miljoenen websites een certificaatwaarschuwing krijgen. Let's Encrypt waarschuwt nu zowel websites als Androidgebruikers om in actie te komen. Voor websites die ook met oude Androidtoestellen moeten kunnen blijven werken is het mogelijk nodig om op een andere certificaatautoriteit over te stappen.
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren. Firefox beschikt, in tegenstelling tot veel andere browsers die de root store van het besturingssysteem gebruiken, over een eigen root store met rootcertificaten, waaronder het ISRG Root X1-certificaat. Zodoende kunnen ook gebruikers van oude Androidtoestellen volgend jaar september nog steeds websites met Let's Encrypt-certificaten blijven bezoeken.
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Wie houdt bij en bepaald welke certificaten te vertrouwen zijn en welke niet?
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Er zijn straks hele volksstammen die niet weten wat ze moeten doen als de "app" (website) op hun telefoon het niet meer doet.
Certificaten zijn een ver-van-mijn-bed show voor gebruikers. Dus de mensen die ze met deze melding willen bereiken, bereiken ze niet.
Wat jij probeert te doen, is al een brug te ver voor ze.
Idem een nieuwe browser gaan gebruiken.
Hiervoor moet gewoon een update uitgerold worden op die oude toestellen.
Google en fabrikanten blijven maar weg komen met dit soort zaken. En dus veranderd er niets.
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Je mist niets! Zij (incl. blijkbaar redactie) missen het! Zie quote uit artikel hieronder voor het volledige verhaal.
Gedetailleerde instructies om het certificaat te downloaden bij Let's Encrypt en te installeren achter de link.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?