A partire da gennaio 2021 il 33,8% dei dispositivi Android avrà problemi a navigare sul 30% dei siti Internet: ecco perché.
Per rendere Internet un posto più sicuro sono necessarie scelte forti, che comportano conseguenze anche pesanti. E’ il caso del passaggio dal protocollo HTTP a quello HTTPS: il primo non è criptato ed è insicuro, il secondo è criptato e impedisce (almeno in teoria) che un hacker si metta in mezzo tra il sito e l’utente con un attacco “man in the middle“. But this protocol, as of January 11, 2021, could prevent a lot of smartphones from surfing the Internet.
This is because Let's Encrypt, one of the leading certificate authorities among those that issue SSL security certificates for websites using HTTPS, is about to change the way it handles its certificates and this, as the authority itself says, "is a big deal" for outdated Android smartphones. Una versione di Android obsoleta è sempre un rischio per la sicurezza e quindi è sempre meglio usare un cellulare il più recente possibile, ma questa volta la scelta di Let’s Encrypt è di quelle pesanti perché, a partire dall’anno prossimo, un terzo degli smartphone Android in circolazione potrebbe non riuscire a navigare su un terzo dei siti Web.
Il problema dei certificati HTTPS su Android
Let’s Encrypt è una delle principali autorità di certificazione HTTPS del mondo e i suoi certificati vengono utilizzati da circa il 30% di tutti i domini web. Tutti i browser e i sistemi operativi hanno un certificato Let’s Encrypt chiamato ISRG Root X1, che fino ad oggi è sempre stato incrociato con un secondo certificato chiamato DST Root X3 e realizzato da un altro big della certificazione: IdenTrust.
Per farla estremamente semplice: il certificato di Let’s Encypt, tra i più recenti quando è stato lanciato, si basa su quello di IdenTrust e i siti Web che usano ISRG Root X1 fanno vedere ai browser e ai sistemi operativi più vecchi di questo certificato (e che quindi non lo riconoscono e non lo accettano) quello di IdenTrust “a garanzia" della sicurezza della navigazione.
Questo meccanismo ha funzionato per anni su Windows, macOS, Android e sulla maggior parte dei browser: incrociando i due certificati è stato possibile offrire la navigazione sicura a miliardi di dispositivi nel mondo. Ma adesso c’è un problema: DST Root X3 di IdenTrust scade il primo settembre 2021 e con esso scadrà anche la garanzia che stava dietro ISRG Root X1.
Let’s Encrypt ha deciso che d’ora in poi farà tutto da sola e non si baserà più su certificati di altre autorità, ma solo sui suoi: tutto ciò avverrà ancor prima della scadenza di DST Root X3, perché già dall’11 gennaio 2021 Let’s Encrypt pervede di cambiare le sue API per dare inizio a questa transizione.
Ciò significa che tutti i browser e sistemi operativi che non accettano ISRG Root X1 senza ulteriori certificati non potranno navigare sui siti che lo usano. Let’s Encrypt ha sottolineato che i dispositivi che avranno problemi con questa enorme massa di siti sono quelli con Android 7.1 o precedente: questi dispositivi non considerano attendibile il certificato di Let’s Encrypt e, di conseguenza, negheranno l’accesso ai siti o non riusciranno a caricarli.
Come continuare a navigare con Android 7 nel 2021
Let’s Encrypt afferma che il 33,8% degli smartphone Android oggi attivi nel mondo ha una versione del sistema operativo di Google che potrebbe avere problemi durante la navigazione. Afferma anche che il traffico proveniente da questi smartphone è molto basso, pari all’1-5% del totale del traffico ricevuto dai siti più grandi che usano il certificato ISRG Root X1.
Tuttavia la stessa Let’s Encrypt afferma che “È un bel problema. Ci impegniamo affinché tutti sul pianeta abbiano comunicazioni sicure e rispettose della privacy. E sappiamo che le persone più colpite dal problema dell’aggiornamento di Android sono quelle che desideriamo maggiormente aiutare, persone che potrebbero non essere in grado di acquistare un nuovo telefono ogni quattro anni. Sfortunatamente, non ci aspettiamo che i numeri di utilizzo di Android cambino molto prima della scadenza di ISRG Root X1. Aumentando la consapevolezza di questo cambiamento ora, speriamo di aiutare la nostra comunità a trovare la strada migliore da seguire“.
Let’s Encrypt, in pratica, dichiara apertamente che ha fatto una scelta che va più verso la sicurezza che verso la compatibilità. E dichiara che l’unico modo per navigare con uno smartphone con Android 7 o precedente sui siti che usano il certificato ISRG Root X1 è usare il browser Mozilla Firefox. A differenza degli altri browser, infatti, Firefox gestisce da solo i certificati SSL e non si appoggia al sistema operativo. Even with an old operating system, but with an updated version of Firefox, it will therefore be possible to surf even in 2021.