Mentőövet dob a korosodó androidos készülékeknek a Let's Encrypt
A szervezetnek hála mégsem szorulnak ki jövőre az online térből az Android 7.1-nél régebbi rendszert futtató eszközök.
Jó hírrel készül az ünnepekre a Let's Encrypt, a tanúsítványkibocsátónak (CA, certificate authority) sikerült megoldást találnia, hogy az Android 7.1-nél régebbi rendszereket futtató okostelefonok se szoruljanak ki a modern weblapok jelentős részéről.
KÖZEL VOLT AZ ONLINE SZÁMŰZETÉS
A népszerű CA november elején jelentette be, hogy rövidesen lejár az IdenTrusttól "kölcsönzött", eredetileg cross-signing rendszerben használt DST Root CA X3 tanúsítványa. Noha ez a modern rendszereknél nem okoz majd fennakadást, miután azok túlnyomó része már a Let's Encrypt saját, ISRG Root X1 root tanúsítványát is megbízhatóként kezeli, a mintegy négyéves Android Nougatot megelőző kiadásoknál már annál súlyosabb következményekkel fenyegetett. Miután a korosodó rendszerverziók még nem támogatták az ISRG Root X1-et, nem is fogadják azt el biztonságosként. Jövő ősztől így az eszközök korábbi DST Root X3 hiányában rengeteg weboldalról kiszorultak volna - tanúsítványából idén februárra a CA már több mint egymilliárdot osztott ki.
Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.
Noha már nem mai rendszerekről beszélünk, azok máig az androidos eszközök mintegy 33,8 százalékán megtalálhatók - igaz, a készülékek a Let's Encrypt szerint a weblapokra irányuló forgalomnak mindössze 1-5 százalékát teszik ki, ami remélhetőleg jövő őszig csökken majd. Az érintett felhasználók egyébként a Firefox telepítésével megkerülhették volna a problémát, az androidos böngésző ugyanis a rendszeré helyett saját root tanúsítvány listát használ, így a CA saját root tanúsítványára támaszkodó oldalakat is probléma nélkül megjeleníti. A Firefox ráadásul egészen Android 5.0-ig visszamenőleg telepíthető.
A TANÚSÍTVÁNY TANÚSÍTVÁNYA
Persze a kerülőutakkal együtt is komoly érvágás lett volna az androidos eszközök jó harmadának elvágása a a web jelentős részétől - most azonban úgy tűnik még sincs ok aggodalomra. A Let's Encrypt ugyanis bejelentette, a szolgáltatás köré épülő közösséggel, valamint az IdenTrusttal együtt dolgozva megoldást talált a problémára: a partnerrel a szervezet egy három évre szóló cross-signing megállapodást írt alá ISRG Root X1 tanúsítványa számára, az eredetileg jövő szeptemberben lejáró DST Root CA X3-on keresztül - ezzel lényegében három évvel meghosszabbítva utóbbi tanúsítvány lejárati idejét.
A kitekert megoldás azért lehet életképes, mert az Android platform nem tekint a tanúsítványok lejárati idejére bizalmi horgonyként (trust anchor), így az a Let's Encrypt megoldásával újabb három évvel megtoldható - a CA így lényegében egy az ISRG Root X1-et és a DST Root CA X3-at egyaránt tartalmazó láncot biztosít majd a felhasználók számára, amelynek a böngészés során az Android 7.1-et megelőző rendszerverziók is zöld utat adnak. Az új módszernek hála a felhasználóknak egészen 2024-ig semmilyen extra teendőjük nem lesz a teljes értékű böngészéshez - addigra pedig remélhetőleg elhanyagolhatóra olvad az érintett rendszerverziókat futtató eszközök száma.