Aggiornamento: Let’s Encrypt ha trovato una soluzione che permette ai dispositivi Android di rimanere compatibili con i loro certificati. Puoi leggere qui l’estensione della compatibilità.
Dalla sua nascita, Let’s Encrypt ha rilasciato oltre un miliardo di certificati gratuiti in tutto il mondo. La CA open-source ha contribuito notevolmente all’adozione dell’HTTPS, non è sempre andata liscia come l’olio. Ora gli utenti dei certificati Let’s Encrypt devono prepararsi a un’altra “tempesta”. A partire da gennaio 2021, i certificati Let’s Encrypt avranno una compatibilità ridotta con i dispositivi e le app più vecchie, con conseguenze sia per gli utenti che per i proprietari di siti web.

Il colpevole è un certificato di root di terze parti in scadenza che Let’s Encrypt utilizza per effettuare il cross-signing dei propri certificati. È una pratica standard per le nuove CA firmare i propri certificati con la radice di fiducia di una CA esistente. Nel 2015, quando Let’s Encrypt ha fatto la sua comparsa sulla scena SSL, il suo certificato root non poteva essere considerato affidabile da tutti i principali browser e sistemi operativi. Ci vogliono anni prima che le nuove root superino tutti i controlli e le normative di sicurezza, quindi Let’s Encrypt ha scelto il certificato IdenTrust DST Root X3.
La firma incrociata ha permesso a Let’s Encrypt di emettere subito certificati SSL validi e affidabili. Tutto è andato bene fino a quando non si è avvicinata la scadenza del root IdenTrust. La scadenza è prevista per il 30 settembre 2021 e crea un problema di compatibilità per Let’s Encrypt e i suoi utenti.
Anche se Let’s Encrypt inizierà a rilasciare certificati root concatenati alla sua ISRG Root X1 l’11 gennaio 2021, la sua root non ha la stessa compatibilità della root di IdenTrust. Purtroppo, gli utenti di browser e piattaforme meno recenti riceveranno l’avviso di connessione SSL quando cercheranno di accedere a siti web protetti da Let’s Encrypt.
Utenti Android: i più colpiti dal problema
Non tutti subiranno la riduzione della compatibilità. Il gruppo più colpito è quello degli utenti di Android 7.1.1 o precedenti. Anche se per alcuni queste vecchie versioni possono sembrare arcaiche, oltre il 30% dei dispositivi Android le utilizza ancora. Questi utenti non potranno accedere ai siti web con certificati Let’s Encrypt. Al contrario, i browser li accoglieranno con un fastidioso errore di certificato.
Let’s encrypt ha un grosso problema tra le mani, ma non è colpa loro se molte piattaforme importanti sono così lente nel rilasciare aggiornamenti software. La maggior parte del problema deriva dal modo in cui i produttori di telefoni cellulari utilizzano il sistema operativo Android. Quando Google rilascia un aggiornamento, questo non arriva direttamente a tutti i dispositivi che lo utilizzano.
Nella maggior parte dei casi, i produttori ignorano i gadget più vecchi e, nel peggiore dei casi, i telefoni più vecchi non possono nemmeno supportare l’ultimo aggiornamento. Ecco perché milioni di dispositivi Android utilizzano sistemi operativi obsoleti che non possono fidarsi del nuovo certificato root di Let’s Encrypt.
Oltre ad Android, anche gli utenti di versioni precedenti di Java (prima della 1.8.0) avranno problemi di compatibilità e riceveranno avvisi di certificato quando accederanno a siti web protetti da Let’s Encrypt.

Come puoi risolvere questo problema?
Se sei il proprietario di un sito, la soluzione più pratica e veloce è passare a un’altra Autorità di Certificazione. Le CA commerciali hanno una compatibilità con i browser del 99,3%, comprese le versioni più vecchie e i sistemi server. Utilizzano le proprie radici fidate e la firma incrociata utilizzando le proprie radici più vecchie per ottenere la migliore compatibilità.
Un’alternativa gratuita a Let’s Encrypt può essere rappresentata dai certificati di CloudFlare e Amazon, ma potrai utilizzarli solo finché rimarrai loro cliente. Il più vicino a Let’s Encrypt in termini di funzioni è SSL positivo, un conveniente certificato di convalida del dominio. A differenza di Let’s Encrypt, include anche un sigillo statico per il sito e una garanzia SSL.
Se non vuoi sostituire il tuo certificato Let’s Encrypt, puoi avvisare i tuoi visitatori dell’imminente problema e chiedere loro di aggiornare i loro dispositivi Android. Tuttavia, la maggior parte degli utenti non è esperta di tecnologia e non si sottoporrà a tutti questi problemi per visitare un sito. Puoi smettere di supportare le versioni precedenti, ma anche in questo caso farai arrabbiare i tuoi utenti e inonderai il tuo servizio clienti di lamentele.
L’opzione più sensata è quella di passare a un’altra CA, a meno che Let’s Encrypt non proponga una soluzione entro il nuovo anno.
Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!
Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10



