Nedávne Androidy budú mať problém s prístupom k množstvu HTTPS stránok

Značky: webbezpečnosťSSL / TLS

DSL.sk, 7.11.2020

Smartfóny a ďalšie zariadenia s pomerne nedávnymi verziami operačného systému Android budú mať v blízkej budúcnosti zrejme problém s prístupom k množstvu HTTPS stránok.

Certifikáty certifikačnej autority Let's Encrypt, ktoré sú využívané množstvom webov, totiž v blízkej budúcnosti ak nepríde k zmene už nebudú akceptované Androidom starším ako 7.1.1.

Let's Encrypt o tom informovala v piatok.

Certifikáty Let's Encrypt doteraz využívali aj podpis koreňovým certifikátom DST Root X3 certifikačnej autority IdenTrust, ktorý je široko akceptovaný a pred niekoľkými rokmi umožnil spustenie Let's Encrypt. Certifikát DST Root X3 ale 1. septembra 2021 exspiruje.

Let's Encrypt má aj svoj koreňový certifikát ISRG Root X1, ktorý je v súčasnosti už tiež široko akceptovaný. Z hlavných platforiem ale nie je prítomný v Androide starších verzií ako 7.1.1.

Certifikáty Let's Encrypt začnú využívať len koreňový certifikát ISRG Root X1 a tým nebudú Androidom starším ako 7.1.1 považované za dôveryhodné. Let's Encrypt preverovala získanie podpisu znovu aj od inej certifikačnej autority, podľa oznámenia to ale vyzerá nepravdepodobne.

Aký podiel majú zariadenia s verziou Androidu staršou ako 7.1.1 nie je jasné, podľa Let's Encrypt ale podiel zariadení s verziou 8.0 a novšou dosahuje 60.8% a s verziou 7.1 a novšou 66.2%. Let's Encrypt neočakáva, že sa podiel zariadení s verziou nižšou ako 7.1.1 do termínu exspirovania DST Root X3 výrazne zmení.

Vydávať certifikáty podpísané ako koreňovým certifikátom len certifikátom ISRG Root X1 tak začne štandardne už 11. januára. Certifikáty od Let's Encrypt majú platnosť len 90 dní a čoskoro by tak mohol používať takéto certifikáty nezanedbateľný počet webov.

Zatiaľ ale Let's Encrypt webom umožní stále získať aj širšie akceptované certifikáty s DST Root X3, akým spôsobom popisuje v oznámení.

Riešením pre užívateľov starších verzií Androidu bude využívať namiesto zabudovaného webového prehliadača napríklad Firefox Mobile, ktorý používa vlastné koreňové certifikáty.

Certifikáty nepovažované za dôveryhodné nezanedbateľným počtom zariadení by ale znamenali veľkú nevýhodu a zatiaľ tak nie je jasné, či postup Let's Encrypt nebude intenzívne kritizovaný a služba nebude nútená zvoliť iný postup alebo či nepríde o veľký počet webov používajúcich jej certifikáty.




Najnovšie články:



Diskusia:

len do toho Od: cfg495 | Pridané: 7.11.2020 19:52 som zvedavy, ako tato chyba bude odprezentovana v podani orangu, ked v poslednej dobe im ide karta :D Odpovedať Známka: 9.3 Hodnotiť:

Re: len do toho Od: jebe jebe jebe | Pridané: 7.11.2020 22:07 na osrateho aj hajzel padne ci jak je to :D Odpovedať Známka: 4.5 Hodnotiť:

Re: len do toho Od: dobrá správa | Pridané: 7.11.2020 22:15 dsl.sk bude fungovať aj na nedávnych androidoch. Odpovedať Známka: 9.3 Hodnotiť:

Re: len do toho Od: JankaDslka | Pridané: 7.11.2020 22:59 aj na dávnych PDAčkach a tlačiarňach Odpovedať Známka: 9.2 Hodnotiť:

Re: len do toho Od: jvccbgg | Pridané: 7.11.2020 23:39 Mam android 4.nieco Android je shit celkovo Odpovedať Známka: -6.0 Hodnotiť:

Re: de te ne le Od: Android je super spy | Pridané: 8.11.2020 8:35 Najľepší vťip. Odpovedať Známka: 1.1 Hodnotiť:

Re: len do toho Od: bohuuuuus | Pridané: 8.11.2020 8:56 Android a certifikáty je fail sám o sebe.. keď si nastavis web ktorý pôjde na Http a aj na https a na https dáš vadný certifikát tak si ta google chrome presmeruje na http lebo vidí že https certifikát je neplatny, a funguje ti to dalej.. nech žije sslstrip Odpovedať Známka: 6.0 Hodnotiť:

Re: len do toho Od: reg.: Houston | Pridané: 8.11.2020 11:52 Takze fail je vlastne u Chrome, ci? Okrem toho, je mozne na Androide (na niektorych ale musis mat urcitu uroven ochrany, napr. PIN), instalovat vlastne certifikaty. Nie je to pre BFU uplne na jeden klik, treba stiahnut ten spravny a v tom spravnom formate (moze byt nutna konverzia / zmena pripony) a potom nieco ako Settings > Security > Credential Storage > Install from .... Odpovedať Známka: 7.1 Hodnotiť:

Re: len do toho Od: notootoooto | Pridané: 8.11.2020 20:42 Presne tak, ja mam tak nainstalovany firemny root certifikat, pre pristup k vpn a ine Odpovedať Hodnotiť:

Re: len do toho Od: teodoorr | Pridané: 9.11.2020 14:25 ano, mozno je to fail chrome, certifikaty sa daju doinstalovat to nieje ziadny problem, nemusis mat certifikat ktory je vygenerovany uz nejakym root-om ktory uz akceptuje, ale to je trochu ina vec pretoze tu sa bavime o tom ze domena a certifikat niesu zhodne tym ze android sa pripaja sam aj na verejne nezaheslovane wifiny automaticky, a ma xy dalsich nepoochopitelnych veci, je bezpecnost takeho systemu otazna Odpovedať Hodnotiť:

Re: len do toho Od: Fjfhcbcnfj | Pridané: 9.11.2020 13:32 To je blbost, mna nic nepresmeruje. Nemoze to presmerovat. Odpovedať Hodnotiť:

Re: len do toho Od: teodooor | Pridané: 9.11.2020 14:21 mno nerobil som ziadny vyskum, ale vzdy ked som s byvalkou siel na obed a chceli sme si pozriet ake je dnes menu, tak na mojom BBpassport mi ta stranka nikdy nesla otvorit a po prezreti podrobnosti vidim ze certifikat je uplne inej domeny, jej to slo zobrazit vzdy vpohode.. google vyhladavac vzdy prioritizuje https odkaz, takze pokial funguju obe ukaze https len Odpovedať Hodnotiť:

...... Od: kubs | Pridané: 7.11.2020 19:57 iba blázon používa nepodporovaný systém..tak sa niet čomu čudovať Odpovedať Známka: -6.1 Hodnotiť:

ultraradikalny ohladuplnizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2020 7:32 Pokiaľ je ale systém certifikačných autorít prezentovaný ako základ internetovej bezpečnosti, je potrebné ho rešpektovať, nakoľko iný prístup by bol matematicky priekazne obmedzovaním náboženskej slobody. Odpovedať Známka: -4.0 Hodnotiť:

Re: ...... Od: GranadaDYR | Pridané: 8.11.2020 9:28 To ze je nieco starsie a uz to nepodporuju neznamena ze to nieje pouzitelne. takyto rychlo rotujuci pristup maju generacie narodene 199x-200x hlavne ze chcu zit RAW BIO a eko-logicky :P vacsia sranda bude ked vypnu TLS 1.0/1.1 nie kazde zariadenie bude vediet ist 1.2/1.3 (rozne media player krabicky) dost ma stvu niektore podcast CDNka redirektuju http->https a tam su uz len TLS1.3 takze tie veci musime curlnut lokalne a odtial masinkam hostovat mirror...a pritom kludne by tam mohol byt HTTP Odpovedať Známka: 6.7 Hodnotiť:

Re: ...... Od: OriginalnyKoumak | Pridané: 8.11.2020 9:55 pokial si vies importnut vlastny cert, tak mozes spravit transparentne https proxy na linuxe napriklad a netrapit sa z nejakym curlkovanim... My sme tak museli vyriesit jeden obsolete system, ktory uz je pre rozsiahlost neportovatelny na novsiu platformu a tak bezi na starej a cez proxy sa na nu pripajame akoby bol OK :) Odpovedať Známka: 5.0 Hodnotiť:

Re: ...... Od: GranadaDYR | Pridané: 8.11.2020 10:58 Celkom by ma to zaujimalo ... poznas nejaky transparent alebo nieco co dokaze spravit client http(1.0/1.1) proxy ktore spravi connect na server ktory ti posle Tempovery moved 30x kod a nasledne spravi HTTPS cize TLSv3 alebo SSL na server znovu a klientovi vrati uz desifrovany HTTP stream? napr takto by vedeli ist online aj stare OS Amiga/CP a ine Retro aj ked ja to potrebujem pre HW krabicky ktore ine ako HTTP/HTTPS SSL nepodporuju STUNEL dokaze ist len priame spojenie akonahle mas subdomenu alebo iny resource na stranke uz STUNEL sa neda vyuzit priklad www.rtvs.sk ale dalej ides slovensko.rtvs.sk cdn.archiv.rtvs.sk to sa STUNNElom neda spravit.. preto hladam nejaky aplikacny proxy ktory dokaze downgradnut aspon TLS3 na SSL2/TLS1/2 Odpovedať Známka: 0.0 Hodnotiť:

ultraradikalny objasňovačizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2020 12:19 Nakoľko metalayer bezpečnostných certifikátov koliduje pri prechode na Web 3.0 aplikácie so štruktúrou sémantiky metadát mikroformátov, či či aky je optimalny workaround je už v kratkoodobom horizonte priekazne úplne irelevantné. Odpovedať Známka: -4.0 Hodnotiť:

Re: ...... Od: OriginalnyKoumak | Pridané: 8.11.2020 18:05 Myslim, ze je k dispozicii dostatok navodov ako nastavit napriklad aj uplne jednoduchy apache, aby fungoval ako transparentne proxy aj pre https. Cez iptables presmerujes 443 na lokal, ktory to spracuje a forwarduje poziadavku ako treba... Na strane proxy ak nemas vyslovene zakazanu podporu niektoreho SSL/TLS, pripadne este aj povolenu ignoraciu pravosti/cerstvosti cert (ak sa napajas na fakt obsolette weby - napr. management stareho switchu, alebo ASM konzolu serveru), tak sa pripoji a nacita skutocne cokolvek a tvojmu PC to bude zasielat v podporovanej verzii ako si nastavis... Rewrite https na http neni moc rozumne, moze to ovplyvnit vela skriptov, to je prave lepsie mat vlastny cert importovany a tympadom nemas problem. Odpovedať Hodnotiť:

Re: ...... Od: GranaDYR | Pridané: 8.11.2020 20:12 Neviem ci sme sa spravne pochopili My mame problem s klientami ktori ani nevedia ist SSL/TLS Priklad: Mas male internetove HW radio urcene pre ludi bez zraku su tam special cudliky aby si vedel posuvat stream a m3u playlist. Teraz ten playlist im generujes a prehravace(client-i) si zoznam URL(.m3u) ale ked narazi na URL ktore hostuje napr nejaky rozhlas tak ma uzivatel smolu lebo ten ich CDN co pouziva ta stanica ma TVRDO TLS1.2/v1.3 a to radio pre slepeho nevie... cize skip-ne a ide dalej kym nenajde nieco co vie stiahnut. Odpovedať Hodnotiť:

Re: ...... Od: GranaDYR | Pridané: 8.11.2020 20:12 Potrebujeme aby ten napr APACHe proxy spravil len spojenie ktore PC alebo Malina na jednej strane robila ako to potrebuje Webserver a na opacnom konci to davala TCP bez sifrovania velmi podobne sa chovaju MIMTproxy tooly ale tam je dovod ten ze chces vidiet co tam tecie. Tu je dovod ten ze chces prevazdkovat zariadenie ktore nikdy mat podporu TLSv1.2/v1.3 nebude. Pritom ludi co pouzivaju taketo strojceky nemozes len tak zacat ucit pouzivat nieco ine lepsie je tam dat nejaku malinu ktora ponecha to na co su zvyknuty. Odpovedať Hodnotiť:

Re: ...slepí, slabozrakí - skusit ich naučit používat, a navyknút si na nové zariadenie, (softwér, hardwér) Od: Sudájev - Erik Winkelmann | Pridané: 9.11.2020 3:31 ..ale možno lepšie (pre teba, resp. pre vás, jako spolok poskytujúci služby pre takíchto klientov..) by bolo možno lepšie ich to skusit naučit, "naportovat" ich na nový systém, nech si zvyknú, chvilku by to možno trvalo, - ale zase by ste mali potom aj vy, aj oni, - zase na dlhší čas pokoj, a fungovali by ste naplno na novších zariadeniach, (na (relativne) novšej platforme.. ..takto by sa, aj dnes, ~~2000, ~~ 2020++, ešte stále len skúšali prejst na písacie stroje, a telefóny (analogové, vytáčacie.. /príp.kanclové,-stolné -tlačítkové) Odpovedať Známka: -10.0 Hodnotiť:

Re: ...... Od: ibaze | Pridané: 9.11.2020 0:08 by si nemal inu moznost? ked na tvoj HW neexistuju ovladace na novsi android tak mozes ist praskovy cukor fukat... Zostanes aj pri starej verzii chrome a vsetko ide aj pojde ako sa patri. Odpovedať Hodnotiť:

Prezieravé DSL.sk Od: Lacog | Pridané: 7.11.2020 20:50 V tomto prípade nebude žiaden problém s prístupom na dsl.sk Prezieravé ;-) Odpovedať Známka: 9.1 Hodnotiť:

wildcard certs Od: OriginalnyKoumak | Pridané: 7.11.2020 20:51 Najvacsia vyhode LE je v pouzivani wildcard certifikatov zadarmo, pripadne multiSAN, inak je vhodnejsi komercny... Odpovedať Známka: -6.0 Hodnotiť:

ničivý prakticizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2020 2:45 Pre množstvo HTTPS stránok je potenciálne namiesto komercneho vhodnejsi ziadny. Predsalen, koľko vajíčok ide do zemiakového šalátu sa podľa oficiálnych štatistík CSIRT-u zas množstvo hackerských skupín kybernetickými útokmi podsúvať priekazne nesnaží. Odpovedať Známka: 2.3 Hodnotiť:

Re: wildcard certs Od: Majk0 | Pridané: 9.11.2020 0:59 a na čo je vhodnejší? Odpovedať Hodnotiť:

U mna vsetko OK Od: zaba na prameni | Pridané: 7.11.2020 23:16 Zľakol som sa lebo som nevedel aku mam verziu Androidu ale zistil som ze mam 8 takze vsetko v pohode Odpovedať Známka: 3.3 Hodnotiť:

Re: U mna vsetko OK Od: 33jkl33 | Pridané: 8.11.2020 2:04 Ja tiež neviem presne akú verziu Androidu mám na S3 mini, ale nakoľko je ten telefón, čo sa týka internetu, offline tak je to úplne v pohode. Odpovedať Známka: 3.3 Hodnotiť:

Re: U mna vsetko OK Od: AleboTakto | Pridané: 8.11.2020 8:53 na S3 mini si nahoď ROM z novafusion.pl... staršiu verziu som používal kým mi S3 neodišla a bolo to OK. Odpovedať Známka: -3.3 Hodnotiť:

Re: NEGRO-libtardí brajgel v celej EUrope, najma zatím Západnej, a v celej Amerike, - USA Od: Kexsica - Haski - Mikeš | Pridané: 7.11.2020 23:37 ..tak celé USA si už tiež škrtám, tam to zachvílu bude (nejen) vypadat jako nekde v NEGROstánu, v Afrike, v Mogadišu.. :/ :( a najma jako v JAR (celá tá situácia..) ozaj tí bieli vymierajú, tak -či -tak, abo onak, proste počty klesajú jak voda pri odlive, abo spodná voda v studni (na južnej Morave proste vymierajú - teda, fakt vymierame :o Odpovedať Známka: -3.6 Hodnotiť:

Re: NEGRO-libtardí brajgel v celej EUrope, najma zatím Západnej, a v celej Amerike, - USA Od: Hadatko | Pridané: 8.11.2020 8:50 Svoje nocne mory mozes riesit s terapeutom ;) Odpovedať Známka: 3.3 Hodnotiť:

Re: NEGRO-libtardí brajgel v celej EUrope, najma zatím Západnej, a v celej Amerike, - USA Od: zaba na prameni | Pridané: 8.11.2020 10:09 Ja som zase rad ze moja rasa vymiera a nahradi ju lepsia to mame za to ze sme rasisti Odpovedať Známka: -2.7 Hodnotiť:

ludia chceli zmenu: Od: xtcxtc | Pridané: 8.11.2020 12:46 zlaté slová, tesať do kameňa Odpovedať Známka: 0.0 Hodnotiť:

Re: NEGRO-libtardí brajgel v celej EUrope, najma zatím Západnej, a v celej Amerike, - USA Od reg.: Macko Pu | Pridané: 8.11.2020 19:24 Tvrdit ze daky mezuin s AK je lepsia rasa z prvej ? To vyzera ako tvrdenie pod natlakom. Treba si vybrat bielu lengorku a sa cinit. Pisanim do blogov situaciu nezachranime. Odpovedať Známka: -5.0 Hodnotiť:

Re: NEGRO-libtardí brajgel v celej EUrope, najma zatím Západnej, a v celej Amerike, - USA Od reg.: Macko Pu | Pridané: 8.11.2020 19:25 Tvrdit ze daky mezuin s AK je lepsia rasa z prvej ? To vyzera ako tvrdenie pod natlakom. Treba si vybrat bielu lengorku a sa cinit. Pisanim do blogov situaciu nezachranime. Odpovedať Známka: -5.0 Hodnotiť:

Ide o bezne nedorozumenie. Od: Elektrikar | Pridané: 8.11.2020 9:24 Android pod 7.1.1 je davny android a nie nedavny. V tom spociva nedorozumenie, ktore moze rozrusit majitelov starsich zariadeni ktore patria do kosa. Odpovedať Známka: -8.0 Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: čitateľ | Pridané: 8.11.2020 10:40 3-4 ročná vlajková loď ešte zvláda brázdiť vodami internetu. Odpovedať Známka: 6.4 Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: eternal_noob | Pridané: 9.11.2020 8:44 Predpokladam ze vlajkova lod vydana v case ked bol aktualny android 7 dostala update aspon na android 8 Odpovedať Známka: 3.3 Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: qwesad | Pridané: 9.11.2020 13:40 Ktora 3 rocna vlajkova lod ma android 7? :-O Odpovedať Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: čitateľ | Pridané: 9.11.2020 16:34 3-4, čiže 5. Odpovedať Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: hfgh | Pridané: 8.11.2020 11:03 7.1.1 je davny android z pohladu cisla najnovsieho androidu(11). Z pohladu veku toho androidu/ zariadeni to az taky davny android nieje. Pol roka dozadu som este pouzival Smartfon so 6-tkou Androidom. Niekdajsi smartfon vyssej triedy a fungoval v pohode dokial sa HW nepokazil. Preco by som mal vyhadzovat nieco co je funkne len preto, ze vyrobca/Google zasekol podporu? Ked si pozeral tie cisla, tak 36% pouzivanych telefonov pouziva starsi Android ako 7.1.1 To je nestastie tejto doby. Kopec veci zbytocne moralne zastarava a generujeme tym kopec odpadu. Odpovedať Známka: 8.3 Hodnotiť:

Re: Ide o bezne nedorozumenie. Od: Medžr | Pridané: 8.11.2020 12:58 a prečo furt ktosi čosi špekuluje so stránkami? Pamätáš Gmail iba pre vyvolených a neskôr na pozvánky? Na email.cz som mal schránky s max. 10 MB celkovým obsahom. Teraz aby si človek kvôli zasratým stránkam Internetu kupoval nový OS, ktorý pobeží na novom HW. Celé zle! Aby si správy - poondiate správy písali na neviem akých displejoch na drahých mobiloch. To už je mi pokrok! Odpovedať Známka: 1.4 Hodnotiť:

APPGREYD Od: bla bla bla | Pridané: 8.11.2020 10:43 https://www.needrom.com/ Odpovedať Hodnotiť:

08112020 Od: 0811220 | Pridané: 8.11.2020 10:49 Hahaha preto nikdy nechcem Android, navždy iOS Odpovedať Známka: -5.4 Hodnotiť:

Re: 08112020 Od: reg.: Houston | Pridané: 8.11.2020 11:41 Jasne, lebo iOS je vseliek. iPad - maximalne iOS 5.1.1 iPad 2 +3 - maximalne iOS 9.3.5 iPad 4 - maximalne iOS 10.3.4 A to je celkom dobry kus HW, len vela appiek je uz len pre iOS 11, napriklad MS TEAMS. Na Androide si aspon mozes vyskusat nejaku custom ROM a vdychnut HW, ktory este zvlada veci nejaky zivot. Na iPhone je situacia podobna, cokolvek horsie ako iPhone 7,6s,SE ma Apple v/na (prosim doplnit), teda podpora je tak max 4 roky a vacsinou najnovsia verzia iOS dost spomali bezne fungovanie. A to ma Apple ovela lahsiu situaciu ako vyrobcovia s Androidom. Preto nikdy nechcem iOS. Odpovedať Známka: 5.7 Hodnotiť:

Re: 08112020 Od: 543rfds | Pridané: 9.11.2020 11:11 Vsetko je to ale 5 alebo viac rokov v podpore. Za to niektore androidy maju podporu ziadnu, alebo len prvy rok alebo teraz po novom snad aj dva. Cest vynimkam. Ano, XDA poznam, svojho casu som tam bol velmi casto. Co sa tyka aplikacii, to je dan za all in cloud. Prevadzkovatel nema zaujem prevadzkovat stary kod. Potrebuje neustale vytvarat dojem, ze prinasa novinky a zlepsuje pracu ludi. Odpovedať Hodnotiť:

svet je krasny a uchvatny Od: jahôdka | Pridané: 8.11.2020 11:58 minuly tyzden som si na moju z3 compact hodil najnovsi lineage a csob smarttoken aplikacia zacala vyhadzovat, ze zariadenie nesplna bezpecnostne poziadavky a ani sa nespusti, tak ze ok android 10 je asi nebezpecnejsi ako 6.. Odpovedať Známka: 3.3 Hodnotiť:

Re: svet je krasny a uchvatny Od: kubs | Pridané: 8.11.2020 17:29 safetynet kontrola ti asi nič nehovorí..načo inštaluješ systém, ktorému ani nerozumieš? Odpovedať Známka: -1.1 Hodnotiť:

ultraradikalny objasňovačizmus Od: syntaxterrorXXX,. X | Pridané: 8.11.2020 17:36 Boh je tiež evolucionista, lebo iné hobby priekazne mať nemôže. Odpovedať Známka: 0.0 Hodnotiť:

Re: svet je krasny a uchvatny Od: jahôdka | Pridané: 8.11.2020 21:27 asi nie, pouc ma prosim Odpovedať Známka: -3.3 Hodnotiť:

dnes má meniny Bohumír Od: peter_svk | Pridané: 8.11.2020 12:14 Načo mi je nejaký certifikát? Odpovedať Známka: -2.5 Hodnotiť:

Re: cetrifikát negatívny Od: xtcxtc | Pridané: 8.11.2020 12:48 aby ťa pustili do obchodu, mimo okres, reštauracie Odpovedať Známka: 7.1 Hodnotiť:

Re: cetrifikát negatívny Od: Faceless man | Pridané: 8.11.2020 15:33 ale šak vraveli že ten v telefóne neplatí ! Odpovedať Známka: 10.0 Hodnotiť:

Kolutit Od: Onem | Pridané: 8.11.2020 12:32 A je to tak len a len DOBRE! Odpovedať Známka: -6.7 Hodnotiť:

Orange internet neobmedzený za 1€ Od: Lexokon | Pridané: 9.11.2020 9:55 Tiež ho používam na komunikáciu messenger , na počasie , email , atď .... Hlavne výborný na navigáciu za jedno euro Odpovedať Hodnotiť:

Pridať komentár