Let's Encrypt heeft een oplossing gereed om te zorgen dat oudere Android-versies volgend jaar sites met verlopen LE-certificaten kunnen blijven bezoeken. Let's Encrypt verlengt de periode van ondertekening van de betreffende certificaten, ondanks het verlopen ervan.
De workaround garandeert volgens Let's Encrypt dat gebruikers met Android 7.1.1 of ouder vanaf september volgend jaar sites met Let's Encrypt-certificaten zonder problemen of waarschuwingen kunnen blijven bezoeken, ook al gaat het officieel om verlopen certificaten. Certificaatautoriteit IdenTrust stemt in met een verlenging van de ondertekening van het ISRG Root X1-certificaat van Let's Encrypt vanaf zijn DST Root CA X3-certificaat. Die cross-signing geldt voor een nieuwe periode van drie jaar.
Nog steeds is het zo dat het DST Root X3-certificaat van IdenTrust op 1 september 2021 verloopt, maar Android handhaaft niet actief de verloopdata van certificaten die gebruikt worden als trust anchors. Wel is het zo dat oudere Android-versies nu het ISRG Root X1-certificaat als extra tussenstap in de certificaatketen ophalen voor het opzetten van de beveiligde verbinding, wat de TLS-handshake minder efficiënt maakt. Volgens Let's Encrypt is dat het waard gezien de extra compatibiliteit. Overigens benadrukt de organisatie dat eindgebruikers zelf niets hoeven te doen.
Let's Encrypt verwacht de nieuwe certificaatketen eind januari of begin februari in te voeren. Dat maakt dat de eerdere plannen van de organisatie om op 11 januari van keten te wisselen geen doorgang meer vinden. Voordat de nieuwe periode voor cross-signing afloopt, dat zal begin 2024 het geval zijn, zal Let's Encrypt alsnog deze stap nemen, mogelijk al in juni 2021. Gebruikers kunnen er dan met een speciaal verzoek voor kiezen DST Root CA X3 te blijven gebruiken.
De problemen werden vanaf november aangekaart door Let's Encrypt. Om snel ondersteuning op te bouwen voor Windows, Firefox, macOS, Android, iOS en Linux maakte Let's Encrypt in zijn begintijd gebruik van cross-signing via DST Root X3. Dat certificaat verloopt op 21 september 2021. Android-versies ouder dan versie 7.1.1 worden echter niet meer bijgewerkt en blijven vertrouwen op DST Root X3. Meer dan 30 procent van alle Android-apparaten gebruikt nog zo'n oude Android-versie en dreigde dus certificaatwaarschuwingen te krijgen als ze vanaf 1 september 2021 sites zouden openen die met een https-certificaat van Let's Encrypt werken.
Update, woensdag 11.00: Verduidelijkt dat Android-gebruikers niets hoeven te doen en passage verwijderd over de stap die Let's Encrypt in januari wilde zetten omdat deze onduidelijk was. Met dank aan Sleutelman.