[ZEUS News - www.zeusnews.it - 10-11-2020]
Il ritmo con cui Android viene aggiornato è piuttosto incalzante: ogni anno esce una nuova versione, e rapidamente quella installata sul dispositivo che abbiamo tra le mani finisce con l'essere classificata come "vecchia".
Ciò di solito non è un problema dal punto di vista delle funzionalità; l'unica preoccupazione sta nel fatto che la mancanza di supporto alle versioni più anziane si traduce anche nella mancanza di patch di sicurezza, e quindi in potenziali rischi nel caso vengano scoperte delle falle. La mancanza di aggiornamenti ha però anche altre conseguenze.
Tali conseguenze si paleseranno presto ai possessori di smartphone e tablet Android non più giovanissimi - ossia quelli dotati di versioni precedenti la 7.1.1 - che dal prossimo anno rischieranno di non poter più accedere a molti siti.
A diventare inaccessibili saranno quei siti che, per offrire una connessione crittografata ai propri utenti (quella identificata dal protocollo Https) si affidano alla certification authority (CA) Let's Encrypt.
Let's Encrypt è nata sei anni fa ed è particolarmente apprezzata soprattutto (ma non solo) dalle piccole realtà, poiché consente di ottenere certificati X.509 gratuitamente.
Tali certificati servono a garantire che la connessione in corso avvenga effettivamente con il titolare del certificato stesso e, tramite un sistema a crittografia asimmetrica, servono per cifrare la comunicazione.
Ogni dispositivo - sia esso computer, tablet o smartphone - ha una lista di certificati validi che viene periodicamente aggiornata affinché sia sempre affidabile e stia al passo sia con l'emissione di nuovi certificati che con il ritiro di quelli vecchi. Si può quindi iniziare a intravedere quale sia il problema di chi possiede uno smartphone non più aggiornato.
Nel caso di Let's Encrypt, per capire il problema bisogna aggiungere al panorama il fatto che, mentre oggi i certificati emessi da questa azienda sono ampiamente riconosciuti, all'inizio non era così; pertanto, quei certificati erano "co-firmati" (la dicitura corretta è cross-signing da un'altra autorità, IdenTrust.
Ebbene, a partire dal 1 settembre 2021 la firma da IdenTrust scadrà. Pertanto, tutti i dispositivi che non ricevono aggiornamenti non potranno più utilizzare i certificati rilasciati a suo tempo e cross-signed per garantire una connessione sicura ai siti che ne facevano uso: non riconoscendo l'autorità di Let's Encrypt (proprio perché non vengono aggiornati), la cui firma è ancora presente ma non ritenuta valida, impediranno la connessione o almeno mostreranno un messaggio d'errore.
«Ci sono software che non vengono aggiornati dal 2016 (ossia più o meno il momento in cui i nostri root certificate hanno iniziato a essere accettati) e questi non considereranno sicuri i nostri certificati ISRG Root X1» spiega Jacob Hoffman-Andrews, sviluppatore presso Let's Encrypt.
«Particolarmente importante è il fatto che questo gruppo comprenda le versioni di Android precedenti la 7.1.1» continua Hoffman-Andrews. «Ciò significa che queste vecchie versioni di Android non considereranno più come sicuri i certificati di Let's Encrypt».
Secondo la CA, il problema riguarda circa un terzo di tutti i dispositivi attualmente utilizzati, che sono complessivamente circa 2,5 miliardi. È pur vero che oggigiorno essi ammontano al massimo al cinque per cento del traffico Internet, ma il fenomeno è comunque degno di nota.
Purtroppo, secondo Hoffman-Andrews non c'è molto che gli utenti possano fare, se non sperare negli aggiornamenti di Android da parte dei produttori o utilizzare Firefox (per Android) come browser: esso infatti utilizza una propria lista di certificati continuamente aggiornata e dovrebbe quindi riconoscere come validi quelli di Let's Encrypt.
Un'alternativa consiste nell'installare da sé, manualmente, i certificati necessari, ma è facile capire come questa non sia un'operazione alla portata di tutti.
Resta infine la speranza che Google decida di aggiornare Chrome affinché anch'esso abbia a disposizione una propria lista aggiornata di certificati, ma al momento su questo fronte tutto tace.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
||
|