image

Let's Encrypt-certificaten werken straks niet meer op oude Androidtelefoons

dinsdag 11 juli 2023, 14:00 door Redactie, 5 reacties

Certificaten van certificaatautoriteit Let's Encrypt werken vanaf volgend jaar september niet meer op oude smartphones met Android 7.0 of eerder, wat voor problemen kan zorgen bij het bezoeken van websites. Gebruikers zullen dan ook actie moeten ondernemen, bijvoorbeeld door het installeren van Firefox Mobile, zo adviseert de certificaatautoriteit.

Meer dan 340 miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Let's Encrypt, dat een volledig versleuteld web als doel heeft en dit door het uitgeven van gratis tls-certificaten wil bereiken, begon in 2013 als certificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven.

Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte de certificaatautoriteit gebruik van een cross-signature van IdenTrust. Het rootcertificaat van IdenTrust, DST Root X3, werd namelijk al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.

Oudere software, waaronder Androidversies voor versie 7.1.1, heeft echter nooit een update ontvangen om het Let's Encrypt-rootcertificaat te vertrouwen. Nu was dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verliep echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zouden dan niet meer op deze toestellen werken, waardoor die geen websites meer konden bezoeken die van deze certificaten gebruikmaakten.

Er werd echter een oplossing gevonden waardoor deze certificaten op oude Androidtelefoons konden blijven werken. Hiervoor vond Let's Encrypt IdenTrust bereid om de ISRG Root X1 vanaf hun DST Root X3-certificaat te "cross signen". Deze oplossing werkt omdat Android de verloopdatum van certificaten die als "trust anchors" worden gebruikt opzettelijk niet handhaaft. Deze cross-signing zal volgend jaar september echter verlopen en Let's Encrypt heeft besloten geen nieuwe cross-signing te doen.

De certificaatautoriteit stelt dat het aantal Androidtoestellen dat het eigen ISRG Root X1-certificaat vertrouwt van 66 procent naar 94 procent is gestegen. Een percentage waarvan Let's Encrypt denkt dat het alleen maar zal toenemen, met name door het verschijnen van Android 14, dat de store met vertrouwde certificaten zonder een volledige update van het besturingssysteem kan bijwerken.

Daarnaast zal het stoppen met de cross-signing het dataverkeer van Let's Encrypt doen afnemen, alsmede de bedrijfskosten. Dit heeft echter gevolgen voor gebruikers van Android 7.0 of ouder. Die worden aangeraden om over te stappen op Firefox Mobile, aangezien deze browser een eigen "trust store" gebruikt en niet die van het Android-besturingssysteem.

Reacties (5)
11-07-2023, 14:26 door Anoniem
Een goede zaak! Deze certificaten alsook browser certs zijn weinig aandacht voor terwijl ze eigenlijk doorlopend geaudit moeten worden.

We hebben Diginotar nog in het geheugen...
11-07-2023, 14:44 door Anoniem
Het zou eigenlijk al 2 jaar niet meer moeten werken...
Dat het wel werkte is eigenlijk bijzonder fout.
Slim verzonnen, maar wel ontzettend fout.
11-07-2023, 21:57 door johanw
Je kunt die dingen ook handmatig toevoegen als je ze van een website opgeslagen hebt: https://help.ivanti.com/ap/help/en_US/fd/2022/Content/FileDirector/Admin/Clients/Install_Root_Certificate_on_Android.htm
11-07-2023, 23:49 door Briolet
Ik mis hier het advies om dat ISRG Root X1 certificaat zelf toe te voegen. Lijkt me de handigste oplossing. Heb ik vorig jaar al gedaan.
12-07-2023, 09:44 door Anoniem
Door Briolet: Ik mis hier het advies om dat ISRG Root X1 certificaat zelf toe te voegen. Lijkt me de handigste oplossing. Heb ik vorig jaar al gedaan.

Dit lijkt me een hele goede workaround voor een OS wat al redelijk lang EOL is. Heel goed idee.. :(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.