Atualização: A Let’s Encrypt encontrou uma solução que permite que os dispositivos Android permaneçam compatíveis com seus certificados. Você pode ler sobre a compatibilidade estendida
aqui
.
Desde a sua criação, a Let’s Encrypt emitiu mais de um bilhão de certificados gratuitos em todo o mundo. A CA de código aberto contribuiu muito para a adoção do HTTPS, no entanto, nem sempre foi uma navegação tranquila. Agora, os usuários dos certificados Let’s Encrypt devem se preparar para outra “tempestade”. A partir de janeiro de 2021, os certificados Let’s Encrypt terão compatibilidade reduzida com dispositivos e aplicativos mais antigos, afetando usuários e proprietários de sites.
O culpado é um certificado raiz de terceiros que está expirando e que a Let’s Encrypt usa para fazer o cruzamento de seus certificados. É uma prática padrão para as novas CAs assinarem seus certificados com a raiz confiável de uma CA existente. Em 2015, quando a Let’s Encrypt surgiu no cenário do SSL, seu próprio certificado raiz não era confiável para todos os principais navegadores e sistemas operacionais. Leva anos para que as novas raízes sejam aprovadas em todas as auditorias e normas de segurança, por isso a Let’s Encrypt escolheu o certificado IdenTrust DST Root X3.
A assinatura cruzada permitiu que a Let’s Encrypt emitisse certificados SSL válidos e confiáveis imediatamente. Tudo estava bem até que a expiração da raiz da IdenTrust se aproximou. Ele deve expirar em 30 de setembro de 2021 e cria um problema de compatibilidade para a Let’s Encrypt e seus usuários.
Embora a Let’s Encrypt comece a emitir certificados raiz encadeados à sua ISRG Root X1 em 11 de janeiro de 2021, sua raiz não tem o mesmo intervalo de compatibilidade que a raiz da IdenTrust. Infelizmente, os usuários de navegadores e plataformas mais antigos receberão o aviso de conexão SSL ao tentar acessar sites protegidos pela Let’s Encrypt.
Usuários do Android – os mais afetados pelo problema
Nem todos terão a compatibilidade reduzida. O principal grupo afetado são os usuários do Android 7.1.1 ou anterior. E, embora para alguns, essas versões antigas possam parecer arcaicas, mais de 30% dos dispositivos Android ainda as executam. Esses usuários não poderão acessar sites com certificados Let’s Encrypt. Em vez disso, os navegadores os receberão com erros de certificado desagradáveis.
A Let’s encrypt tem um grande problema em suas mãos, mas não é culpa deles que muitas plataformas importantes sejam tão lentas na emissão de atualizações de software. A maior parte do problema decorre da maneira como os fabricantes de telefones celulares usam o sistema operacional Android. Quando o Google lança uma atualização, ela não vai diretamente para todos os dispositivos que a utilizam.
Na maioria das vezes, os fabricantes ignoram os aparelhos mais antigos e, na pior das hipóteses, os telefones mais antigos não suportam nem mesmo a atualização mais recente. É por isso que milhões de dispositivos Android usam sistemas operacionais desatualizados que não podem confiar no novo certificado raiz do Let’s Encrypt.
Além do Android, os usuários de versões mais antigas do Java (anteriores à 1.8.0) também enfrentarão problemas de compatibilidade e receberão avisos de certificado ao acessar sites protegidos pela Let’s Encrypt.
Como você pode resolver esse problema?
Se você for proprietário de um site, a solução mais rápida e prática é mudar para outra autoridade de certificação. As CAs comerciais têm 99,3% de compatibilidade com navegadores, incluindo versões mais antigas e sistemas de servidor. Eles usam suas próprias raízes confiáveis e fazem a assinatura cruzada usando suas próprias raízes mais antigas para obter a melhor compatibilidade.
Uma alternativa gratuita ao Let’s Encrypt pode ser os certificados da CloudFlare e da Amazon, mas você pode usá-los somente enquanto for cliente deles. O que mais se aproxima do Let’s Encrypt em termos de recursos é SSL positivoum certificado de validação de domínio acessível. Ao contrário do Let’s Encrypt, ele também inclui um selo de site estático e uma garantia SSL.
Se não quiser substituir seu certificado Let’s Encrypt, você pode avisar seus visitantes sobre o problema iminente e pedir que eles atualizem seus dispositivos Android. No entanto, a maioria dos usuários não é experiente em tecnologia e não se dá ao trabalho de visitar um site. Você pode interromper o suporte a versões mais antigas, mas isso novamente irritará seus usuários e inundará o suporte ao cliente com reclamações.
A opção mais sensata é mudar para outra CA, a menos que a Let’s Encrypt apresente uma solução até o ano novo.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10
