Пользователи Android 7.1.1 и более старых версий не смогут открывать защищённые Let’s Encrypt сайты с января / Хабр

В 2021 году завешается срок соглашения Let’s Encrypt с IdenTrust. Таким образом, браузеры и ОС без корневого сертификата Let’s Encrypt больше не будут работать с сайтами и службами, которые используют этот сертификат. Центр сертификации Let’s Encrypt предупредил, что проблема коснется устройств с версиями Android до 7.1.1 Nougat. С 11 января 2021 года режим перекрестной подписи отменяется по умолчанию, а с 1 сентября от него откажутся полностью.

Это затронет значительную часть Android-пользователей. По последним данным статистики, на долю Android 7.1 и более старых версий приходилось почти 34% устройств.

Однако существует вариант частичного разрешения ситуации. Пользователи могут установить Firefox, который использует собственное хранилище сертификатов. Это решит проблему браузеров, но не клиентов или функций. Единственный способ полностью обойти ограничения —в обновлении своей версии Android. Но он доступен не всем пользователям старых смартфонов, если их производители прекратили поддержку.

В настоящее время Samsung и другие производители Android-устройств обязуются обновлять ОС в течение трех лет.

Let’s Encrypt ещё в апреле 2021 года планировал перейти на собственную цепочку ISRG Root, но этого не произошло из-за опасений по поводу недостаточного распространения корня ISRG на устройствах Android. Дату перенесли на 8 июля 2020 года.

Сейчас Let’s Encrypt использует перекрёстно подписанный промежуточный сертификат с цепочкой до корня IdenTrust DST Root CA X3. Этот корневой сертификат был выдан ещё в сентябре 2000 года и истекает 30 сентября 2021 года. До этого времени Let’s Encrypt планирует перейти на собственный самоподписанный корень ISRG Root X1, который выпущен 4 июня 2021 года. Он был доступен клиентам через обновление с 6 августа 2021 года.

См. также: