Miljoenen sites werken volgend jaar niet meer op oude Androidtelefoons
Miljoenen websites zullen volgend jaar niet meer op oude Androidtelefoons en andere apparaten met een oude Androidversie werken, tenzij deze gebruikers Firefox installeren of de webmasters een andere certificaatautoriteit kiezen. Dat laat certificaatautoriteit Let's Encrypt weten. Het probleem is dat op 1 september 2021 een rootcertificaat waar Let's Encrypt gebruik van maakt vervalt.
Meer dan tweehonderd miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Vijf jaar geleden begon Let's Encrypt als certificaatautoriteit. Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte het gebruik van een cross-signature van IdenTrust.
Het rootcertificaat van IdenTrust, DST Root X3, werd al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.
Oudere software, waaronder Androidversies voor versie 7.1.1, hebben echter nooit een update ontvangen om het nieuwe Let's Encrypt-rootcertificaat te vertrouwen. Nu is dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verloopt echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zullen dan niet meer op deze toestellen werken, wat inhoudt dat ze de website niet kunnen bezoeken, zo waarschuwt de certificaatautoriteit.
Zo'n 33 procent van de Androidgebruikers zit nog op een versie voor Android 7.1.1. Die zullen wanneer het DST Root X3-certificaat komt te vervallen bij miljoenen websites een certificaatwaarschuwing krijgen. Let's Encrypt waarschuwt nu zowel websites als Androidgebruikers om in actie te komen. Voor websites die ook met oude Androidtoestellen moeten kunnen blijven werken is het mogelijk nodig om op een andere certificaatautoriteit over te stappen.
Eigenaren van een toestel met een oude Androidversie kunnen Firefox installeren. Firefox beschikt, in tegenstelling tot veel andere browsers die de root store van het besturingssysteem gebruiken, over een eigen root store met rootcertificaten, waaronder het ISRG Root X1-certificaat. Zodoende kunnen ook gebruikers van oude Androidtoestellen volgend jaar september nog steeds websites met Let's Encrypt-certificaten blijven bezoeken.
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
worden gedistribueerd en opgeslagen in de certificate stores. Het updaten van deze certificaten via een update van het OS
of de browser dat geeft dit soort problemen, en ook andere (bijvoorbeeld als een rootcertificaat moet worden ingetrokken).
Wie houdt bij en bepaald welke certificaten te vertrouwen zijn en welke niet?
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Er zijn straks hele volksstammen die niet weten wat ze moeten doen als de "app" (website) op hun telefoon het niet meer doet.
Certificaten zijn een ver-van-mijn-bed show voor gebruikers. Dus de mensen die ze met deze melding willen bereiken, bereiken ze niet.
Wat jij probeert te doen, is al een brug te ver voor ze.
Idem een nieuwe browser gaan gebruiken.
Hiervoor moet gewoon een update uitgerold worden op die oude toestellen.
Google en fabrikanten blijven maar weg komen met dit soort zaken. En dus veranderd er niets.
Waarom zo moeilijk doen? Zelf heb ik Android 7.0 op mijn toestel. Voor mijn gevoel een nieuw toestel, maar ik vind alles jonger dan 5 jaar nieuw.
Als ik het "ISRG Root X1" certificaat download op mijn toestel (vanuit de root certificaten lijst op mijn PC) en vervolgens op het certificaat in de download folder klik, krijg ik de vraag om het certificaat te installeren. Daarna staat hij in de lijst met gebruikers certificaten. Bij mijn weten zou dat gewoon moeten werken. Of mis ik iets?
Je mist niets! Zij (incl. blijkbaar redactie) missen het! Zie quote uit artikel hieronder voor het volledige verhaal.
Gedetailleerde instructies om het certificaat te downloaden bij Let's Encrypt en te installeren achter de link.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
