Android, un dispositivo su tre smetterà di accedere ai siti Https



[ZEUS News - www.zeusnews.it - 10-11-2020]

lets encrypt https android

Il ritmo con cui Android viene aggiornato è piuttosto incalzante: ogni anno esce una nuova versione, e rapidamente quella installata sul dispositivo che abbiamo tra le mani finisce con l'essere classificata come "vecchia".

Ciò di solito non è un problema dal punto di vista delle funzionalità; l'unica preoccupazione sta nel fatto che la mancanza di supporto alle versioni più anziane si traduce anche nella mancanza di patch di sicurezza, e quindi in potenziali rischi nel caso vengano scoperte delle falle. La mancanza di aggiornamenti ha però anche altre conseguenze.

Tali conseguenze si paleseranno presto ai possessori di smartphone e tablet Android non più giovanissimi - ossia quelli dotati di versioni precedenti la 7.1.1 - che dal prossimo anno rischieranno di non poter più accedere a molti siti.

A diventare inaccessibili saranno quei siti che, per offrire una connessione crittografata ai propri utenti (quella identificata dal protocollo Https) si affidano alla certification authority (CA) Let's Encrypt.

Let's Encrypt è nata sei anni fa ed è particolarmente apprezzata soprattutto (ma non solo) dalle piccole realtà, poiché consente di ottenere certificati X.509 gratuitamente.

Tali certificati servono a garantire che la connessione in corso avvenga effettivamente con il titolare del certificato stesso e, tramite un sistema a crittografia asimmetrica, servono per cifrare la comunicazione.

Ogni dispositivo - sia esso computer, tablet o smartphone - ha una lista di certificati validi che viene periodicamente aggiornata affinché sia sempre affidabile e stia al passo sia con l'emissione di nuovi certificati che con il ritiro di quelli vecchi. Si può quindi iniziare a intravedere quale sia il problema di chi possiede uno smartphone non più aggiornato.

Nel caso di Let's Encrypt, per capire il problema bisogna aggiungere al panorama il fatto che, mentre oggi i certificati emessi da questa azienda sono ampiamente riconosciuti, all'inizio non era così; pertanto, quei certificati erano "co-firmati" (la dicitura corretta è cross-signing da un'altra autorità, IdenTrust.

Ebbene, a partire dal 1 settembre 2021 la firma da IdenTrust scadrà. Pertanto, tutti i dispositivi che non ricevono aggiornamenti non potranno più utilizzare i certificati rilasciati a suo tempo e cross-signed per garantire una connessione sicura ai siti che ne facevano uso: non riconoscendo l'autorità di Let's Encrypt (proprio perché non vengono aggiornati), la cui firma è ancora presente ma non ritenuta valida, impediranno la connessione o almeno mostreranno un messaggio d'errore.

«Ci sono software che non vengono aggiornati dal 2016 (ossia più o meno il momento in cui i nostri root certificate hanno iniziato a essere accettati) e questi non considereranno sicuri i nostri certificati ISRG Root X1» spiega Jacob Hoffman-Andrews, sviluppatore presso Let's Encrypt.

«Particolarmente importante è il fatto che questo gruppo comprenda le versioni di Android precedenti la 7.1.1» continua Hoffman-Andrews. «Ciò significa che queste vecchie versioni di Android non considereranno più come sicuri i certificati di Let's Encrypt».

Secondo la CA, il problema riguarda circa un terzo di tutti i dispositivi attualmente utilizzati, che sono complessivamente circa 2,5 miliardi. È pur vero che oggigiorno essi ammontano al massimo al cinque per cento del traffico Internet, ma il fenomeno è comunque degno di nota.

Purtroppo, secondo Hoffman-Andrews non c'è molto che gli utenti possano fare, se non sperare negli aggiornamenti di Android da parte dei produttori o utilizzare Firefox (per Android) come browser: esso infatti utilizza una propria lista di certificati continuamente aggiornata e dovrebbe quindi riconoscere come validi quelli di Let's Encrypt.

Un'alternativa consiste nell'installare da sé, manualmente, i certificati necessari, ma è facile capire come questa non sia un'operazione alla portata di tutti.

Resta infine la speranza che Google decida di aggiornare Chrome affinché anch'esso abbia a disposizione una propria lista aggiornata di certificati, ma al momento su questo fronte tutto tace.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 6)

{aldolo}
non accedere più a un sito che risparmia qualche euro all'anno per il certificato non è sicuramente una gran perdita.
11-11-2020 05:48

Ho un telefono con android 5 che va ancora più che bene e ci navighi da Dio con opera e firefox (anche se firefox ultimamente lo trovo peggiorato anche su pc) alla fine i siti son sempre gli stessi... peggiorano non si sa come mai le applicazioni che diventano pesanti
10-11-2020 22:57

Si. Perché dispositivi con Android 7 in giù sono ormai con hardware insufficiente al giorno d'oggi. Anche per installare un altro browser per aggirare il problema. Girerebbe lento fino allo sfinimento. Leggi tutto
10-11-2020 20:33

Se il problema si supera con Firefox... non è un vero problema, o almeno non di android ma di chrome. Leggi tutto
10-11-2020 20:14

Sarebbe meglio titolare "Chrome Android smettera' di accedere ai siti https". .
10-11-2020 17:22

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Quali sono i benefici maggiori che deriverebbero da una politica e una pubblica amministrazione più aperta e trasparente ai cittadini?
I giornalisti potrebbero informarsi più facilmente sulle attività di politici e amministratori e l'informazione al pubblico sarebbe più ampia e dettagliata.
Politici e amministratori renderebbero maggiormente conto ai cittadini del loro operato.
La qualità dei servizi in generale migliorerebbe.
L'opinione pubblica avrebbe più peso nelle decisioni amministrative e politiche.
In generale i nostri rappresentanti avrebbero elementi per prendere decisioni più appropriate.

Mostra i risultati (824 voti)
Novembre 2020
Flash muore ma i giochini sopravviveranno nell'Internet Archive
Apple, multa milionaria per aver rallentato gli iPhone
Il malware che colpisce gli utenti dei siti porno
Google Foto, si va verso il servizio a pagamento
Expedia, Booking, Hotels e altri: dati degli utenti visibili e accessibili
L'aspirapolvere che recupera gli AirPod dalle rotaie
Open Shell riporta in vita il menu Start di Windows 7
WhatsApp, ora è più facile eliminare foto e video inutili
Ottobre 2020
Windows 10, Microsoft si prepara a rivoluzionare l'interfaccia
Windows 10 elimina la schermata Sistema, un trucco la riporta in vita
L'app che “spoglia” le donne: garante privacy apre istruttoria
Gasolio addio, FS vuole i treni a idrogeno
Windows 10, guai a catena dopo l'ultimo aggiornamento
Windows 10, Pc riavviati a forza per installare le web app di Office
Quel motivetto che hai in testa? Se lo fischietti, Google lo indovina
Tutti gli Arretrati


web metrics