A Internet não vai quebrar em dispositivos Android mais antigos em 2021, graças à uma solução alternativa da autoridade de certificação.
fonte: Android Police |
Em novembro, foi descoberto que uma boa parte dos sites que usam certificados Let's Encrypt parariam de funcionar em dispositivos Android mais antigos no próximo ano. A causa foi uma parceria expirada com a IdenTrust, que assinou as chaves da empresa para plataformas mais antigas. Felizmente, uma solução foi estabelecida, e os sites que usam certificados Let's Encrypt não precisam mais se preocupar com problemas com dispositivos Android mais antigos no próximo ano.
É um assunto bastante técnico, mas em resumo, Let's Encrypt estava contando com um certificado de assinatura cruzada para alguns dispositivos (como dispositivos Android executando versões anteriores ao 7.1.1 Nougat) que não tinham seu certificado raiz. Dois meses atrás, o Let's Encrypt revelou que estava encerrando esse acordo em setembro próximo, portanto, seu certificado assinado cruzado pararia de funcionar nesses dispositivos. Isso significa que sites e serviços que usavam o Let's Encrypt para proteger suas conexões HTTPS seriam interrompidos, que atualmente é uma boa parte da Internet.
As várias cadeias de confiança abrangidas por esta notícia, fonte: Android Police |
Felizmente para nós, a parceria entre IdenTrust e Let's Encrypt foi renovada, embora a nova solução funcione de maneira um pouco diferente, com a assinatura cruzada do certificado raiz de Let's Encrypt também. Você pode verificar os detalhes no link da fonte abaixo. Falando com um desenvolvedor que tive em mãos para ajudar a decifrá-lo (Obrigado: Matthew Franklin), a solução é "meio estranha", mas por outro lado se encaixa nos padrões de validade de certificado e, embora acrescente uma etapa extra na cadeia de confiança em alguns casos, deve significar que as coisas continuam funcionando bem e com segurança.
Tanto os proprietários de dispositivos Android mais antigos quanto os assinantes do Let's Encrypt não precisam fazer nada para que essa solução alternativa funcione no próximo ano. Alguns desenvolvedores específicos podem precisar verificar se seus certificados não estão codificados, mas para todos os outros, essa alteração não exigirá nenhuma etapa para acomodar. O Let's Encrypt diz que a mudança deve ser "completamente invisível" para os usuários finais, e os sites e serviços que usam certificados Let's Encrypt devem continuar funcionando em dispositivos Android afetados sem ter que recorrer ao uso de um navegador como o Firefox com seu próprio armazenamento de certificados.
Esta não é uma solução para sempre, já que o novo acordo de assinatura cruzada só é válido até 2024, e não está claro se outra solução alternativa está planejada para diminuir o suporte para dispositivos mais antigos depois disso. Ainda assim, as pessoas que usam dispositivos Android pré-7.1.1 têm mais três anos para atualizar antes que os sites e serviços comecem a quebrar - e dado o quão inseguras essas versões mais antigas são agora, essas atualizações são necessárias, se bem que dispositivos com Android pré-Nougat podem não ser elegíveis para atualizações... Podem se preparar para botar a mão no bolso e comprar dispositivos com Android na versão atual....
fonte: Android Police via Let's Encrypt