Een derde Androids krijgt in 2021 problemen met veel websites

Het gaat ongeveer om een derde van alle nu gebruikte Android-smartphones. Het zijn overigens niet de smartphones die het meest gebruikt worden voor het surfen over het web: ze zijn goed voor ongeveer 5 procent van het webverkeer, constateert The Register.

Het probleem is een uitvloeisel van de actie van Let's encrypt, de organisatie die vier jaar geleden een campagne begon om zo veel mogelijk van het webverkeer te versleutelen. Elke organisatie kon gratis een certificaat aanvragen, dat tot dan toe vaak een prijzige stap was die alleen werd genomen door organisaties die veel gevoelige informatie uitwisselden met sitebezoekers, zoals financiële instellingen. Door deze actie maakt nu ruim 70 procent van de websites gebruik van de certificaten van Let's encrypt.

Om bij de start vier jaar geleden heel snel overal geaccepteerd certificaten uit te kunnen delen, maakte Let's Encrypt gebruik van de certificaten en de reputatie van IdenTrust op basis van diens DST Root X3. Tegelijk ondernam Let's encrypt - of liever de organisatie Internet Security Research Group (ISRG) waaruit het inititiatief voortkwam - stappen voor de aanvraag en acceptatie van een eigen root-certificaat. Die kwam er en in juli 2018 werden alle certificaten uitgebracht onder ISRG Root X1 ook geaccepteerd door de belangrijkste browserproducenten.

Sites onveilig verklaard

Op 1 september 2021 vervalt echter de geldigheid van het DST Root X3 dat Let's encrypt nog altijd gebruikt als verificatie voor browsers en andere software die nog niet bekend zijn met het ISRG Root X1. Dat is dus onder meer het geval met het Android-besturingssysteem in de versie 7.1.1 (Nougat) uit 2016 of oudere versies. Dat er nog zo veel Android-smartphones gebruik maken van de oudere versies van het OS komt door dat sommige oudere smartphones geen nieuwere versie aankunnen of gebruikers de upgrade naar een nieuwe versie hebben geweigerd.

Het gevolg is dat deze smartphones bij het bezoek van veel websites een waarschuwing zullen krijgen dat de site onveilig is, of zelfs regelrecht geblokkeerd worden. Er is een ontsnappingsroute, maar dan moeten de gebruikers van deze toestellen Firefox installeren als primaire browser. Firefox maakt geen gebruik van de root store van het besturingssysteem maar houdt een eigen lijst van vertrouwde certificaten bij. Een andere optie is toch proberen een nieuwere versie van het Android-OS te installeren of als het toestel dat niet aankan, een nieuwe smartphone kopen.