Even zag het ernaar uit dat oudere Android telefoons vanaf september 2021 in de problemen zouden komen wanneer ze beveiligde websites willen bezoeken. Let’s Encrypt heeft een manier gevonden waarop het toch wel mogelijk is.
Oudere toestellen die geen toegang meer krijgen tot beveiligde websites: het zou een groot probleem worden. Het ging namelijk om maar liefst een derde van de bestaande Android smartphones. Daarom kwam Let’s Encrypt met een manier om het probleem te omzeilen.
Het probleem was dat het originele root certificaat van Let’s Encrypt afhankelijk is van een cross-signature van IdenTrust die verloopt op 1 september 2021. Inmiddels heeft Let’s Encrypt zijn eigen root certificaat: ISRG Root X1. Het probleem is dat de Android versies voorafgaand aan 7.1.1 dit root certificaat niet vertrouwen. Doordat er nog zoveel Android toestellen zijn die op een oudere versie draaien, zou de situatie uitlopen op een groot probleem.
De oplossing van Let’s Encrypt
Om dit alles op te lossen, heeft IdenTrust een nieuwe cross-sign overeenkomst van drie jaar uitgegeven. Dit root certificaat combineert de ISRG Root X1 van Let’s Encrypt met de DST Root CA X3 van IdentTrust.
Deze stap stelt het probleem drie jaar uit. In deze drie jaar zullen veel mensen die een toestel uit 2016 of ouder hebben hun telefoon waarschijnlijk vervangen door een nieuwer exemplaar. Daarom is het probleem over drie jaar waarschijnlijk een stuk minder groot.
“We kunnen gebruikers voorzien van een chain die zowel ISRG Root X1 als DST Root CA X3 bevat. Hierdoor verzekeren we gebruikers van ononderbroken service en vermijden we de potentiële breuk waar we ons zorgen over maakten”, verklaart Let’s Encrypt.
“We zullen onze eerder geplande chain switch op 11 januari niet uitvoeren. In plaats daarvan stappen we eind januari of begin februari over op de nieuwe chain. De overstap heeft geen impact op Let’s Encrypt klanten”, laat Let’s Encrypt weten.
Let’s Encrypt legt uit dat zijn certificaat voor DST Root CA X3 keypair alsnog verloopt, maar dat browsers en OS root opslag bevat zogenaamde trust anchors. Android ontwikkeld om een anchor te negeren als er een datum aan gekoppeld die verlopen is.