O Let's Encrypt, que teve / tem papel fundamental na adopção do HTTPS na web para ligações mais seguras, dá agora uma má notícia aos possuidores de dispositivos Android mais antigos. No próximo ano vai passar a usar certificados próprios - que até aqui eram partilhados com o 'DST Root X3' da IdenTrust, reconhecido pelos Windows, macOS, Android, e demais plataformas. O que significa é que os dispositivos que não reconhecerem esses novos certificados irão deixar de conseguir aceder às comunicações seguras certificadas pelo Let's Encrypt, e isso representa todos os milhões de dispositivos com Android 7.1 ou mais antigos.
Considerando que o Let's Encrypt é responsável por cerca de 30% dos sites https na web, facilmente se pode antever o impacto que isto terá. Por outro lado, nem tudo está perdido, já que estes Android com 4 e mais anos, poderão continuar a aceder a estes sites se usarem o Firefox, que usa o seu próprio repositório de certificados e irá reconhecer estes novos certificados.
Ainda assim, o Firefox não será capaz de corrigir as falhas de comunicações HTTPS que irão ocorrer a nível do sistema e de apps, sempre que tentarem criar comunicações seguras com os respectivos serviços.
O Let's Encrypt irá começar a fazer esta transição a 11 de Janeiro de 2021, mas permitindo que os serviços continuem a criar o certificado partilhado até Setembro. Portanto, se começarem a notar coisas estranhas e dificuldades no acesso a sites e serviços em Androids mais antigos, já sabem do que se trata.
Actualização: o Let's Encrypt prolongou a parceria, para alívio dos Android mais antigos.
Esses telemóveis podem continuar a aceder pelo Firefox e nada impede a Samsung, Chrome e outros browsers/ thirdparties de incluírem as suas truststores.
ResponderEliminarMas isto vem mostrar quão fulcrais para as comunicações seguras são as truststores e os rootcertificates.
Estes não serão os únicos. Na minha máquina windows há uns quantos a expirar no final de 2020, 2021 e 2022. Esses 30% podem aumentar ainda mais.
O Nougat já tinha Security updates, não já? Pode ser que a Google consiga um milagre e meta a Samsung, Xiaomi, LG e HTC (RIP), as marcas de topo da altura, a lançar updates de segurança :D
PS: Saudades do Nexus 5 da foto. Telemóvel lindo, mesmo 7 anos depois!