Szerző: Hlács Ferenc

2020. november 9. 12:52

A weblapok jó részéről kiszorulhatnak a régebbi androidos telefonok

Lejár a Let's Encrypt cross-signing tanúsítványa, ami gondot okozhat az Android 7.1-et megelőző rendszereken.

HIRDETÉS

Számos modern weboldalon falba ütközhetnek az Andorid 7.1.1-nél régebbi rendszereket futtató készülékek, miután hamarosan lejár a népszerű Let's Encrypt tanúsítványkibocsátó (CA, certificate authority) által eredetileg cross-signing rendszerben használt DST Root X3 tanúsítvány. Noha ez a modern rendszereknél nem okoz majd fennakadást, miután azok túlnyomó része már a Let's Encrypt saját root tanúsítványát is megbízhatóként kezeli, a mintegy négyéves Android Nougatot megelőző kiadásoknál nem ez a helyzet.

Mikor öt évvel ezelőtt a Let's Encrypt elrajtolt, sok új CA-hoz hasonlóan cross-signingra, vagy kereszt-tanúsításra támaszkodott, amelyet egy már létező, ismert kibocsátó biztosított számára, jelen esetben az IdenTrust. Utóbbi DST Root X3 tanúsítványát a legnagyobb szoftverplatformok kivétel nélkül elfogadták, így jó alapot adott a Let's Encrypt indulásához is. Az elmúlt években azonban a Let's Encrypt az egyik legnagyobb tanúsítványkibocsátóvá nőtte ki magát így saját root tanúsítványa, az ISRG Root X1 is felkerült a fenti platformok megbízhatósági listáira, így különösebben nem rázza meg a CA-t a DST Root X3 közelgő lejárati dátuma, amelyre egész pontosan 2021. szeptember 1-jén számíthatunk.

androidnougat

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A korosodó rendszereken ugyanakkor okozhat problémát a tanúsítvány kivezetése: az Android 7.1.1 előtti verziók még nem támogatták a Let's Encrypt ISRG Root X1-ét, így nem is fogadják majd azt el biztonságosként jövő ősztől - ezáltal pedig a rendszerekről a Let's Encrypt tanúsítványaira támaszkodó webes felületek sem lesznek elérhetők. A tanúsítványokból egyébként idén februárra a CA már több mint egymilliárdot osztott ki.

Bár az Android 7.1.1 megjelenése óta már bő négy év eltelt, az azt megelőző verziók máig az aktív androidos készülékek nem elhanyagolható részén megtalálhatók - a Google mobilos ökoszisztémájának fragmentáltságát valószínűleg senkinek nem kell bemutatni. Bár erre vonatozó számokat a Google már nem közöl, az Android Studióból kinyerhető adatok szerint jelenleg az androidos készülékek 66,2 százaléka futtatja a rendszer 7.1-es vagy annál újabb verzióját - 33,8 százaléknál okozhat tehát jövőre problémát a DST Root X3 kivezetése. Ezeken az eszközökön a felhasználók rendre tanúsítványhibákba futnak majd, ha a megcélzott weboldal a Let's Encrypt tanúsítványát használja - az ilyen készülékek egyébként a csapat közleménye szerint a weblapokra irányuló forgalom 1-5 százalékát teszik ki, ami remélhetőleg jövő őszig csökken majd.

Szerencsére azért akad mentőöv a korosodó okostelefonok tulajdonosai számára: mint posztjában a Let's Encrypt is kiemeli, az androidos Firefox böngésző nem a rendszer root tanúsítvány listáját használja, helyette saját lajstromot alkalmaz, így a CA saját root tanúsítványára támaszkodó oldalakat is probléma nélkül megjeleníti. A Firefox egészen Android 5.0-ig visszamenőleg telepíthető.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról