Miliony urządzeń z systemem Android przestaną być bezpieczne. Wszystko przez wygasłe certyfikaty
Firma Let’s Encrypt od lat współpracuje z Mozillą i zajmuje się zabezpieczaniem danych przesyłanych w sieci. Co jednak stanie się, gdy certyfikaty zabezpieczeń przestaną być aktualne i nie ma żadnych planów na dalsze ich wspieranie? Potencjalny problem dla milionów użytkowników.
Te androidy są już za stare
Bezpieczeństwo w sieci to palący problem dotykający wszystkich użytkowników internetu i różnych urządzeń. Szczególnie teraz, w roku gdy na zewnątrz grasuje koronawirus i wiele osób przestaje być aż tak czujnych jeżeli chodzi o inne, mniej namacalne i widzialne zagrożenia. Aktywność hakerów wzrosła.
Tylko od początku tego roku doszło do znacznego zintensyfikowania prób hakerów na wyłudzanie lub kradzież poufnych danych osobowych. Dość powiedzieć, że takie dane nie tylko mogą posłużyć do dokonania znacznie większych szkód, niż tylko kradzież pieniędzy z kont bankowych. Dlatego właśnie tak dużą uwagę ostatnio zwraca się na bezpieczne posługiwanie się internetem.
Choć problem ten dotyczy w większości osób starszych lub tych, które na co dzień nie spędzają znacznych ilości wolnego czasu w sieci, pojawia się nowe zagrożenie. To bezpośrednio dotyczy wszystkich. No, chyba, że macie smartfony z Androidem w wersji powyżej 7.1.1 Nugat. W przeciwnym razie - lepiej zastanowić się nad nowym smartfonem pod choinkę.
Certyfikaty, ach te certyfikaty
Firma Let’s Encrypt, która współpracuje z Mozillą, a także i innym dostawcą certyfikatów IdenTrust poinformowała, że kończy współpracę z tym drugim. Nastąpi to 1 września 2021 roku. Z racji tego, że firma nie ma w planach przedłużenia współpracy oznacza to tyle, że certyfikaty DST Root X3 od IdenTrust przestaną być wspierane począwszy od 11 stycznia 2021 roku, gdy firma przerzuci się na swój autorski ISRG Root X1.
Niektóre programy, które nie były aktualizowane od 2016 roku (mniej więcej wtedy, gdy nasz root został zaakceptowany dla wielu programów głównych) nadal nie współpracują z naszym certyfikatem głównym, ISRG Root X1. Przede wszystkim dotyczy to wersji Androida wcześniejszych niż 7.1.1. Oznacza to, że starsze wersje Androida nie będą już współpracować z certyfikatami wystawionym przez Let’s Encrypt" - poinformował Jacob Hoffman-Andrews z Let’s Encrypt.
Problem w tym, że firma nie zamierza najpewniej nic z tym zrobić, co oznacza automatycznie, że nieco starsze wersje Androida nagle zostaną porzucone, przynajmniej pod kątem dość sporej liczby witryn internetowych, które bezpieczne niekoniecznie będą.
Da się to obejść?
Najłatwiej zainwestować po prostu w smartfon z nową wersją Androida. Na certyfikatach Let’s Encrypt opartych jest mnóstwo stron internetowych, które po prostu przestaną być dalej aktualizowane, co stworzy potencjalne niebezpieczeństwa i problemy dla wszystkich użytkowników urządzeń z systemem 7.1.1. i poprzednimi.
Na upartego da się obejść ten problem korzystając wyłącznie z przeglądarki Mozilla Firefox, która zawiera własne certyfikaty, w tym nieaktualny root od Let’s Encrypt. Tylko, że nie pomoże to w stabilnym działaniu różnych aplikacji i programów i na pewno nie zabezpieczy poza tą jedną przeglądarką.