Let’s Encrypt problemi di compatibilità con i vecchi dispositivi

letsencrypt

Fin dal suo inizio, Let’s Encrypt ha emesso oltre un miliardo di certificati gratuiti in tutto il mondo. La CA open source ha contribuito notevolmente all’adozione di HTTPS; tuttavia, non è sempre stata una navigazione tranquilla . Ora, gli utenti dei certificati Let’s Encrypt dovrebbero prepararsi per un’altra “tempesta”. A partire da gennaio 2021, i certificati Let’s Encrypt avranno una compatibilità ridotta con dispositivi e app meno recenti, interessando sia gli utenti che i proprietari di siti Web.

Il colpevole è un certificato radice di terze parti in scadenza che Let’s Encrypt utilizza per eseguire il cross-sing dei loro certificati. È una pratica standard per le nuove CA firmare in modo incrociato i propri certificati con la radice attendibile di una CA esistente. Nel 2015, quando Let’s Encrypt è emerso sulla scena SSL, il proprio certificato radice non poteva essere considerato attendibile da tutti i principali browser e sistemi operativi. Ci vogliono anni prima che le nuove radici superino tutti i controlli e le normative di sicurezza, quindi Let’s Encrypt ha scelto il certificato IdenTrust DST Root X3 .

La firma incrociata ha permesso a Let’s Encrypt di emettere subito certificati SSL validi e affidabili. Tutto andava bene finché la scadenza della radice IdenTrust si avvicinava. È destinato a scadere il 30 settembre 2021 e crea un problema di compatibilità per Let’s Encrypt e i suoi utenti.

Anche se Let’s Encrypt inizierà a emettere certificati radice concatenati alla loro radice ISRG X1 l’11 gennaio 2021, la loro radice non ha lo stesso intervallo di compatibilità della radice IdenTrust. Sfortunatamente, gli utenti di browser e piattaforme meno recenti riceveranno l’avviso di connessione SSL quando tentano di accedere a siti Web protetti da Let’s Encrypt.

Utenti Android: i più colpiti dal problema

Non tutti sperimenteranno la ridotta compatibilità. Il principale gruppo interessato sono gli utenti di Android 7.1.1 o versioni precedenti. E, mentre per alcuni, queste vecchie versioni possono sembrare arcaiche, oltre il 30% dei dispositivi Android le esegue ancora. Questi utenti non saranno in grado di accedere a siti Web con certificati Let’s Encrypt. Invece, i browser li accoglieranno con spiacevoli errori di certificato.

Let’s encrypt ha un grosso problema tra le mani, ma non è colpa loro se molte piattaforme importanti sono così lente nel rilasciare aggiornamenti software. La maggior parte del problema deriva dal modo in cui i produttori di telefoni cellulari utilizzano il sistema operativo Android. Quando Google rilascia un aggiornamento, non va direttamente a tutti i dispositivi che lo utilizzano.

Il più delle volte, i produttori ignorano i vecchi gadget, nel peggiore dei casi i telefoni più vecchi non possono nemmeno supportare l’ultimo aggiornamento. Ecco perché milioni di dispositivi Android utilizzano sistemi operativi obsoleti che non possono fidarsi del nuovo certificato radice di Let’s Encrypt.

Oltre ad Android, anche gli utenti di versioni precedenti di Java (prima della 1.8.0) dovranno affrontare problemi di compatibilità e ricevere avvisi sui certificati quando accedono ai siti Web protetti di Let’s Encrypt.

Come puoi risolvere questo problema?

Se sei il proprietario di un sito, la soluzione più rapida e pratica è passare a un’altra autorità di certificazione. Le CA commerciali hanno una compatibilità del browser del 99,3%, comprese le versioni precedenti e i sistemi server. Usano le proprie radici fidate e il segno incrociato usando le proprie radici più vecchie per la migliore compatibilità.

Un’alternativa gratuita a Let’s Encrypt potrebbe essere CloudFlare e i certificati Amazon, ma puoi usarli solo finché rimani loro cliente. Il più vicino a Let’s Encrypt in termini di funzionalità è Positive SSL , un certificato di convalida del dominio conveniente. A differenza di Let’s Encrypt, include anche un sigillo del sito statico e una garanzia SSL.

Se non desideri sostituire il tuo certificato Let’s Encrypt, puoi avvisare i tuoi visitatori del problema imminente e chiedere loro di aggiornare i loro dispositivi Android. Tuttavia, la maggior parte degli utenti non è esperta di tecnologia e non si preoccuperà di visitare un sito. Puoi smettere di supportare le versioni precedenti, ma questo farà arrabbiare di nuovo i tuoi utenti e sommergerà l’assistenza clienti di lamentele.

L’opzione più sensata è passare a un’altra CA a meno che Let’s Encrypt non fornisca una soluzione fino al nuovo anno.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *