Android, un dispositivo su tre smetterà di accedere ai siti Https



[ZEUS News - www.zeusnews.it - 10-11-2020]

lets encrypt https android

Il ritmo con cui Android viene aggiornato è piuttosto incalzante: ogni anno esce una nuova versione, e rapidamente quella installata sul dispositivo che abbiamo tra le mani finisce con l'essere classificata come "vecchia".

Ciò di solito non è un problema dal punto di vista delle funzionalità; l'unica preoccupazione sta nel fatto che la mancanza di supporto alle versioni più anziane si traduce anche nella mancanza di patch di sicurezza, e quindi in potenziali rischi nel caso vengano scoperte delle falle. La mancanza di aggiornamenti ha però anche altre conseguenze.

Tali conseguenze si paleseranno presto ai possessori di smartphone e tablet Android non più giovanissimi - ossia quelli dotati di versioni precedenti la 7.1.1 - che dal prossimo anno rischieranno di non poter più accedere a molti siti.

A diventare inaccessibili saranno quei siti che, per offrire una connessione crittografata ai propri utenti (quella identificata dal protocollo Https) si affidano alla certification authority (CA) Let's Encrypt.

Let's Encrypt è nata sei anni fa ed è particolarmente apprezzata soprattutto (ma non solo) dalle piccole realtà, poiché consente di ottenere certificati X.509 gratuitamente.

Tali certificati servono a garantire che la connessione in corso avvenga effettivamente con il titolare del certificato stesso e, tramite un sistema a crittografia asimmetrica, servono per cifrare la comunicazione.

Ogni dispositivo - sia esso computer, tablet o smartphone - ha una lista di certificati validi che viene periodicamente aggiornata affinché sia sempre affidabile e stia al passo sia con l'emissione di nuovi certificati che con il ritiro di quelli vecchi. Si può quindi iniziare a intravedere quale sia il problema di chi possiede uno smartphone non più aggiornato.

Nel caso di Let's Encrypt, per capire il problema bisogna aggiungere al panorama il fatto che, mentre oggi i certificati emessi da questa azienda sono ampiamente riconosciuti, all'inizio non era così; pertanto, quei certificati erano "co-firmati" (la dicitura corretta è cross-signing da un'altra autorità, IdenTrust.

Ebbene, a partire dal 1 settembre 2021 la firma da IdenTrust scadrà. Pertanto, tutti i dispositivi che non ricevono aggiornamenti non potranno più utilizzare i certificati rilasciati a suo tempo e cross-signed per garantire una connessione sicura ai siti che ne facevano uso: non riconoscendo l'autorità di Let's Encrypt (proprio perché non vengono aggiornati), la cui firma è ancora presente ma non ritenuta valida, impediranno la connessione o almeno mostreranno un messaggio d'errore.

«Ci sono software che non vengono aggiornati dal 2016 (ossia più o meno il momento in cui i nostri root certificate hanno iniziato a essere accettati) e questi non considereranno sicuri i nostri certificati ISRG Root X1» spiega Jacob Hoffman-Andrews, sviluppatore presso Let's Encrypt.

«Particolarmente importante è il fatto che questo gruppo comprenda le versioni di Android precedenti la 7.1.1» continua Hoffman-Andrews. «Ciò significa che queste vecchie versioni di Android non considereranno più come sicuri i certificati di Let's Encrypt».

Secondo la CA, il problema riguarda circa un terzo di tutti i dispositivi attualmente utilizzati, che sono complessivamente circa 2,5 miliardi. È pur vero che oggigiorno essi ammontano al massimo al cinque per cento del traffico Internet, ma il fenomeno è comunque degno di nota.

Purtroppo, secondo Hoffman-Andrews non c'è molto che gli utenti possano fare, se non sperare negli aggiornamenti di Android da parte dei produttori o utilizzare Firefox (per Android) come browser: esso infatti utilizza una propria lista di certificati continuamente aggiornata e dovrebbe quindi riconoscere come validi quelli di Let's Encrypt.

Un'alternativa consiste nell'installare da sé, manualmente, i certificati necessari, ma è facile capire come questa non sia un'operazione alla portata di tutti.

Resta infine la speranza che Google decida di aggiornare Chrome affinché anch'esso abbia a disposizione una propria lista aggiornata di certificati, ma al momento su questo fronte tutto tace.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Android, i vecchi dispositivi potranno continuare a navigare

Commenti all'articolo (ultimi 5 di 8)

{dany}
E' solo una politica per bannarti se non cambi tutti gli anni il cellulare . Ormai mi sono rotto . Col pc e UBUNTU 20 faccio tutto quello che mi serve per la casa . Stampo , mi connetto alla banca , vedo Youtube con ADBLOCK , visto che la pubblicita' su Youtube e' diventata invasiva e insopportabile . E poi , con FIREFOX... Leggi tutto
21-12-2020 18:12

A livello personale il problema non mi "tocca", nel senso che da quando uso smartphone ho avuto la sfortuna che l'obsolescenza più o meno programmata dell'hardware colpiva molto prima infatti, in media, uno smartphone mi dura 3 anni poi si rompe e tutti senza aver avuto eventi "traumatici". A volte non saprei proprio... Leggi tutto
19-12-2020 15:36

{aldolo}
non accedere più a un sito che risparmia qualche euro all'anno per il certificato non è sicuramente una gran perdita.
11-11-2020 05:48

Ho un telefono con android 5 che va ancora più che bene e ci navighi da Dio con opera e firefox (anche se firefox ultimamente lo trovo peggiorato anche su pc) alla fine i siti son sempre gli stessi... peggiorano non si sa come mai le applicazioni che diventano pesanti
10-11-2020 22:57

Si. Perché dispositivi con Android 7 in giù sono ormai con hardware insufficiente al giorno d'oggi. Anche per installare un altro browser per aggirare il problema. Girerebbe lento fino allo sfinimento. Leggi tutto
10-11-2020 20:33

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Confessa. Hai mai acquistato un farmaco online?
Assolutamente no, è un reato.
Fossi matto! E' un rischio per la salute.
Non si dovrebbe... ma lo ammetto, qualche volta è successo.
Lo faccio abitualmente anche se è contro la legge o pericoloso.

Mostra i risultati (3630 voti)
Maggio 2021
La scorciatoia da tastiera che scongela il Pc
Bye bye, Emotet
Bambini e smartphone, 1.500 euro di multa ai genitori che non li sorvegliano
Aprile 2021
Office manda in pensione Calibri: quale nuovo font preferite?
Windows 10, arriva l'Eco Mode per far tornare scattante il Pc
Microsoft pronta a lanciare Cloud PC, il desktop in streaming
Aggiornamento Windows 10, problemi di tutti i tipi
Se l'FBI, zitta zitta, si mette a patchare i server altrui
Colpevoli di ransomware
Tutti gli home banking sono a rischio, se usi Facebook
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Tutti gli Arretrati
Accadde oggi - 6 maggio


web metrics