Certificaten van certificaatautoriteit Let's Encrypt werken vanaf volgend jaar september niet meer op oude smartphones met Android 7.0 of eerder, wat voor problemen kan zorgen bij het bezoeken van websites. Gebruikers zullen dan ook actie moeten ondernemen, bijvoorbeeld door het installeren van Firefox Mobile, zo adviseert de certificaatautoriteit.

Meer dan 340 miljoen websites maken inmiddels gebruik van een door Let's Encrypt uitgegeven certificaat voor het aanbieden van een beveiligde verbinding. Let's Encrypt, dat een volledig versleuteld web als doel heeft en dit door het uitgeven van gratis tls-certificaten wil bereiken, begon in 2013 als certificaatautoriteit. Browsers en besturingssystemen vertrouwen tls-certificaten alleen als ze het rootcertificaat vertrouwen waaronder het tls-certificaat is uitgegeven.

Om ervoor te zorgen dat Let's Encrypt meteen certificaten kon uitgeven die door allerlei apparaten en besturingssystemen werden vertrouwd maakte de certificaatautoriteit gebruik van een cross-signature van IdenTrust. Het rootcertificaat van IdenTrust, DST Root X3, werd namelijk al door alle browsers vertrouwd. Dankzij de cross-signature werden zodoende ook de door Let's Encrypt uitgegeven certificaten vertrouwd. Let's Encrypt kwam uiteindelijk met een eigen rootcertificaat genaamd ISRG Root X1, dat vervolgens in allerlei besturingssystemen en browsers werd opgenomen.

Oudere software, waaronder Androidversies voor versie 7.1.1, heeft echter nooit een update ontvangen om het Let's Encrypt-rootcertificaat te vertrouwen. Nu was dat geen probleem omdat deze oude Androidtoestellen het DST Root X3-certificaat vertrouwen. Dit certificaat verliep echter op 1 september 2021. Alle door Let's Encrypt uitgegeven certificaten zouden dan niet meer op deze toestellen werken, waardoor die geen websites meer konden bezoeken die van deze certificaten gebruikmaakten.

Er werd echter een oplossing gevonden waardoor deze certificaten op oude Androidtelefoons konden blijven werken. Hiervoor vond Let's Encrypt IdenTrust bereid om de ISRG Root X1 vanaf hun DST Root X3-certificaat te "cross signen". Deze oplossing werkt omdat Android de verloopdatum van certificaten die als "trust anchors" worden gebruikt opzettelijk niet handhaaft. Deze cross-signing zal volgend jaar september echter verlopen en Let's Encrypt heeft besloten geen nieuwe cross-signing te doen.

De certificaatautoriteit stelt dat het aantal Androidtoestellen dat het eigen ISRG Root X1-certificaat vertrouwt van 66 procent naar 94 procent is gestegen. Een percentage waarvan Let's Encrypt denkt dat het alleen maar zal toenemen, met name door het verschijnen van Android 14, dat de store met vertrouwde certificaten zonder een volledige update van het besturingssysteem kan bijwerken.

Daarnaast zal het stoppen met de cross-signing het dataverkeer van Let's Encrypt doen afnemen, alsmede de bedrijfskosten. Dit heeft echter gevolgen voor gebruikers van Android 7.0 of ouder. Die worden aangeraden om over te stappen op Firefox Mobile, aangezien deze browser een eigen "trust store" gebruikt en niet die van het Android-besturingssysteem.