Les anciens smartphones Android ne seront plus privés de sites web en 2021

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Les anciens smartphones Android ne seront plus privés de sites web en 2021

Publié le 22 décembre 2020 à 17:40 par Jérôme G.

Lire sur mobile

Pour trois années supplémentaires, Let's Encrypt a mis en place une solution pour permettre à d'anciens smartphones Android de naviguer sur des sites sécurisés.

Let's Encrypt est une autorité de certification à but non lucratif qui œuvre à la démocratisation et la généralisation des communications chiffrées sur le Web entre un serveur et l'utilisateur. Elle est connue pour son initiative de certificats gratuits pour le protocole TLS utilisé avec HTTPS, et avec une simplification pour l'implémentation.

Le mois dernier, Let's Encrypt a alerté que d'anciens smartphones Android avec une version du système d'exploitation mobile antérieure à 7.1.1 (Nougat) ne seront plus en mesure de consulter certains sites web sécurisés en 2021. En cause, l'expiration d'un partenariat avec l'autorité de certification IdenTrust en septembre 2021.

Lors de sa création, Let's Encrypt avait demandé l'intégration de son propre certificat racine ISRG Root X1 dans les navigateurs et systèmes d'exploitation. Les certificats délivrés ont alors profité d'une signature croisée avec DST Root X3 d'IdenTrust.

Un tel partenariat avec une autorité de certification tierce ne devait pas être renouvelé (et avec l'expiration du certificat DST Root X3), entraînant un problème pour des systèmes Android anciens ne pouvant pas prendre en charge ISRG Root X1.

Un répit pour trois années supplémentaires

Let's Encrypt avait notamment souligné le cas d'un tiers de smartphones Android - équipés d'une version 7.1 ou antérieure - susceptibles d'être confrontés à des erreurs en tentant de se connecter à des sites ayant recours à ISRG Root X1. Cela représenterait de 1 % à 5 % du trafic vers les sites. Sachant par ailleurs que Let's Encryp a revendiqué en début d'année la sécurisation de près de 192 millions de sites web.

Finalement, la date butoir a été repoussée de mi-2021 à début 2024. " Grâce aux idées novatrices de notre communauté et de nos merveilleux partenaires d'IdenTrust, nous disposons maintenant d'une solution qui nous permet de maintenir une large compatibilité ", écrit Let's Encrypt.

Pour l'essentiel, IdenTrust a accepté un accord croisé de trois années supplémentaires pour le certificat ISRG Root X1 de Let's Encrypt et son certificat DST Root CA X3. " Cet accord croisé sera quelque peu nouveau car il s'étend au-delà de l'expiration de DST Root CA X3. La solution fonctionne parce que Android n'applique pas intentionnellement de dates d'expiration des certificats utilisés comme ancres de confiance. "

Android-Nougat