Mégsem megy tönkre az internet a régi mobilokon
Óriási internet kapcsán felmerülő problémára derült fény úgy másfél hónapja, az 7.1.1-es és régebbi Androidot futtató eszközökön 2021 szeptemberétől kezdve csak Firefoxszal lehetett volna böngészni azt a 225 millió webhelyet, amelyek a Let’s Encrypt projekt tanúsítványát használják a titkosított HTTPS-adatkapcsolat kiépítésére. Más böngészőkben hibaüzenet jelent volna meg a weblapok betöltési kísérletekor.
A probléma abból fakadt, hogy az ingyenes tanúsítványok előállítására szakosodott Let’s Encrypt eredetileg olyan fő tanúsítványt használt, ami jövő szeptemberben lejár majd. Ilyenkor alapvetően megszakadna a bizalmi lánc a tanúsítványrendszerben, és a böngészők automatikusan érvénytelennek találták volna a Let’s Encrypt tanúsítványait is.
Ugyan a Let’s Encrypt már rég átállt egy másik fő tanúsítványra, ám az nem található meg a 7.1.1-es és korábbi Androidokban. Az operációs rendszer gyári tanúsítványtárát sajnos csak a mobilokra és a tabletekre kiadott rendszerfrissítésekkel lehet aktualizálni, azonban rendkívül valószínűtlennek tűnt, hogy a gyártóik hajlandóak lennének elkészíteni és kiadni rájuk a patcheket.
A Firefox saját tanúsítványtárat használ Androidon, azért nem érintette volna a probléma.
Most szerencsére jó hír érkezett: a Let’s Encrypt közössége és a jövőre lejáró tanúsítványt birtokló IdenTrust előálltak egy ötletes megoldással, így 2024 elejéig az összes régi mobil és böngésző megbízik majd a Let’s Enrypt által kiadott tanúsítványokban.
Jelen pillanatban a használatban lévő androidos eszközök olyan harmada futtat Android 7.1.1-et vagy régebbi kiadást, a mostani hackelős megoldás három év múlva esedékes lejártakor várhatóan már nagyon keveseket fog érinteni a tanúsítványgond.