Las actualizaciones siempre han sido un tema problemático en Android, y ahora vemos un nuevo ejemplo: millones de páginas web dejarán de funcionar en versiones anteriores a Android 7.1.1 por un problema con los certificados SSL que garantizan su seguridad.
Los certificados SSL son parte imprescindible de la comunicación cifrada con las webs, y los dueños de las webs los obtienen de las denominadas autoridades de certificación. Pues bien, el problema tiene su origen en Let’s Encrypt, una autoridad de certificación que trabaja con más 190 millones de páginas a nivel mundial.
Cuando Let’s Encrypt abrió en 2015 tenía por delante la compleja tarea de que cada sistema operativo y navegador la incluyese en su lista de autoridades de certificación, un objetivo nada sencillo, ni mucho menos rápido.
¿Qué se puede hacer con el certificado digital?
Para acelerar su despegue llegó a un acuerdo con IdenTrust, otra empresa similar, que le permitió usar su certificado (DST Root X3), ya ampliamente aceptado. Pues bien, el certificado compartido caduca el 1 de septiembre de 2021, y en ese momento millones de webs dejarán de funcionar o lo harán con errores.
El nuevo certificado de Let’s Encrypt (ISRG Root X1) ya es aceptado de manera general, pero no por los dispositivos Android anteriores a la versión 7.1.1. Según cálculos de la empresa, el 33,8% de los Android estará afectado, pues no reconocerá las conexiones SSL con sus webs asociadas como seguras.
Esto podría suponer que entre el 1% y el 5% del tráfico se vería afectado, unos porcentajes que parecen pequeños, pero que suponen millones de personas que no podrán utilizar las webs de manera adecuada.
Por el momento, Let’s Encrypt no parece dispuesta a solicitar otro certificado de un tercero. Afirma que supondría que esa empresa asuma sus responsabilidades de seguridad, y que nunca será posible soportar todos los Android antiguos.
A los usuarios les recomienda utilizar Firefox Mobile, que integra su propia lista actualizada de certificados. El navegador principal del sistema (sea Chrome u otro añadido por la marca) usa la lista del sistema operativo, que en smartphones antiguos ya no se va a renovar.
Aunque deseables, posibilidades como que Android mejore sus actualizaciones o los usuarios renueven su móvil resultan poco realistas de cara a 2021, así que no parece que exista una solución sencilla a los problemas de las webs en Android antiguos, a no ser que Let’s Encrypt finalmente pida un nuevo certificado SSL compartido.
- Ver Comentarios