Tramite una approfondita comunicazione pubblicata sul proprio sito, il fornitore di certificati HTTPS Let's Encrypt ha spiegato che gli apparecchi equipaggiati con versioni di Android antecedenti alla 7.1.1 non potranno più accedere a molti siti web

Android 7 precedenti: molti siti HTTPS smetteranno funzionare aggiornamento Let's Encrypt

Cosa succede

Let's Encrypt è una Certification Authority (CA) che rilascia gratuitamente i certificati digitali che permettono ai browser web di stabilire connessioni crittografiche ai siti web. Affinché il meccanismo funzioni correttamente, il browser deve riconoscere come "fidata" la CA che ha rilasciato il certificato per il sito sito al quale il browser sta cercando di connettersi. Questa lista di CA fidate, per quanto riguarda Android, è integrata nel sistema operativo e si aggiorna assieme allo stesso.

Android 7.1, 7.0, 6.0.1 e tutte le altre venute prima, però, non includono Let's Encrypt nella lista e, non essendo più supportate, non verranno mai più aggiornate per farlo.

Fino ad oggi, Let's Encrypt ha aggirato l'ostacolo tramite un processo, chiamato cross-signature, per cui i certificati rilasciati erano garantiti da IdenTrust, un'altra CA che è invece riconosciuta anche dalle vecchie versioni di Android.

Quali conseguenze

Questa partnership giungerà al termine il 1° settembre 2021. Da li in avanti, IdenTrust non fungerà più da garante: i vecchi smartphone e tablet Android vedranno dunque solo Let's Encrypt, a loro sconosciuta, e bloccheranno quindi l'accesso ai siti web che utilizzano i certificati da essa erogati.

Il numero di siti potenzialmente interessati è elevato, in particolar modo fra quelli amatoriali: Let's Encrypt, al contrario di altre CA, è infatti utilizzabile gratuitamente, e viene utilizzata anche da TurboLab.it

» Leggi anche: Come ottenere un certificato HTTPS (SSL/TLS) gratis: la Grande Guida a Let's Encrypt su Linux CentOS/Ubuntu (rating SSL Labs: "A+")

Android 7 precedenti: molti siti HTTPS smetteranno funzionare aggiornamento Let's Encrypt - rating ssllabs a+ lets encrypt

Il problema non interessa Android 7.1.1 e versioni successive, che riconoscono nativamente Let's Encrypt come soggetto fidato.

Lato-client, il numero di dispositivi impattati è molto elevato: si stima infatti che circa il 34% degli apparecchi Android oggi in circolazione eseguano una di queste vecchie versioni

Android 7 precedenti: molti siti HTTPS smetteranno funzionare aggiornamento Let's Encrypt - 2020.11.06-android-version-distribution

Let's Encrypt stima però che, secondo i dati raccolti dai partner, solo l'1-5% di questi apparecchi vengano effettivamente utilizzati per accedere al web.

Le statistiche di TurboLab.it mostrano però un quadro più preoccupante: nell'ultima settimana, oltre il 16% degli accessi da dispositivo Android sono avvenuti con una versione che sarà interessata dal blocco

Android 7 precedenti: molti siti HTTPS smetteranno funzionare aggiornamento Let's Encrypt

Come risolvere

La "vera" soluzione sarebbe un aggiornamento al sistema operativo. Più pragmaticamente, Let's Encrypt suggerisce di installare Firefox per Android che, al contrario di Google Chrome, utilizza una propria lista di CA affidabili e non si appoggia a quella obsoleta del sistema operativo.

I gestori di siti web, dal canto loro, devono valutare se abbandonare Let's Encrypt in favore di una CA riconosciuta anche dai dispositivi più datati prima del settembre 2021. Di più: già a partire dall'11 gennaio 2021, i nuovi certificati rilasciati da Let's Encrypt non includeranno, a meno di richiederlo esplicitamente, la firma di IdenTrust compatibile con le vecchie piattaforme.

Alla mia domanda specifica, la community di Let's Encrypt ha chiarito che non vi saranno invece ripercussioni nell'immediato per i semplici rinnovi automatici dei certificati già oggi in uso.