Oude Androids gered door vangnet van Let's Encrypt
Het zag er slecht uit voor bezitters van Android-toestellen met een systeemversie van 7.1.1 of ouder. Veel websites zouden in ieder geval op 1 september niet goed bereikbaar meer zijn met deze telefoons door problemen met de digitale certificaten. Let's Encrypt heeft nu een oplossing bedacht.
© CC0 - Unsplash.com
CC0 - Unsplash.com
De oplossing zit in een speciaal contract met certificaatverstrekker IdenTrust. Dat zorgt ervoor dat de certificaten uitgegeven onder het eigen 'root'-certificaat van Let's Encrypt (ISRG Root X1), nog drie jaar langer worden gevalideerd onder het 'root'-certificaat van IdenTrust (DST Root CA X3).
Dat is een beetje vreemde constructie omdat de geldigheid van het DST Root CA X3-certificaat op 1 september verloopt. De oudere Android-versies erkennen echter wel de geldigheid van een rootcertificaat als 'trust anchor' ook als deze inmiddels verlopen is.
De bijzondere constructie is bedacht door leden van de Let's Encrypt-community en vertegenwoordigers van IdenTrust. Om er zeker van te zijn dat er niet toch problemen optreden, is de oplossing voorgelegd aan externe auditers en de uitgevers van de rootcertificaten en akkoord bevonden.
Daardoor ziet Let's Encrypt nu af van een voorgenomen 'chain-switch' op 11 januari, die mogelijk al problemen had kunnen opleveren voor bij benadering een derde van de Android-gebruikers. Die omschakeling volgt nu eind januari of begin februari, maar zal geen effect meer hebben op gebruikers van Let's Encrypt beveiligde websites.
Oudere Androids zien Let's Encrypt-certificaten niet als veilig
De kern van het probleem zit in het feit dat de oudere Android-versies niet bekend zijn met het Let's Encrypt, ISRG Root X1-certificaat. Om ervoor te zorgen dat vier jaar geleden de Let's Encrypt-certificaten heel snel geaccepteerd zouden worden in de markt, sloot de Internet Security Research Group (ISRG) - initiatiefnemer van Let's Encrypt - een overeenkomst met het al langer bekende IdenTrust om de Let's-Encryptcertificaten ook te ondertekenen met het root-certificaat van IdenTrust.
'Gratis' zorgde voor een snelle revolutie
Let's Encrypt is een actie van ISRG om - gesteund door browserproducenten - in hoog tempo het verkeer naar zo veel mogelijk websites te versleutelen. Kwaadwillenden kunnen dan in ieder geval het verkeer onderweg niet aftappen en afluisteren. Door de actie veranderde de status van de certificaten wel. Voor de start van de actie was het aanvragen van een certificaat niet goedkoop en daardoor voorbehouden aan organisaties die veel gevoelige informatie uitwisselden met sitebezoekers, zoals financiële instellingen. Door de certificaten gratis te maken, slaagde Let's Encrypt er in het merendeel van alle websites (ruim 70 procent) nu gebruik maakt van een Let's Encrypt-certificaat.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee