2331 Letture
Let's Encrypt: dal prossimo anno tanti siti web non più visibili con Android

Let's Encrypt: dal prossimo anno tanti siti web non più visibili con Android

Tutto dipende dall'imminente scadenza di un certificato radice di terze parti che Let's Encrypt aveva utilizzato anni fa per iniziare a emettere i propri certificati digitali come certification authority.

Let's Encrypt è un progetto nato nel 2014 sotto la spinta di Linux Foundation, Mozilla, Cisco, Akamai, EFF (Electronic Frontier Foundation), Google, Facebook, Internet Society e molti altri per aiutare imprese e utenti privati a migrare le pagine web dei rispettivi siti web da HTTP a HTTPS.

Di Let's Encrypt abbiamo spesso parlato nelle nostre pagine perché con una procedura piuttosto semplice, da qualunque sistema operativo, permette di ottenere in pochi minuti un certificato digitale gratuito da usare con i propri domini.
A febbraio 2020 il servizio ha festeggiato il rilascio del primo miliardo di certificati digitali.

Let's Encrypt è di fatto un'autorità di certificazione (CA) che si occupa di verificare che il richiedente del certificato abbia titolo per gestire il dominio cui tale documento digitale si riferisce.

Quando il progetto Let's Encrypt fu presentato, oltre cinque anni fa, c'era il bisogno di far sì che il certificato root utilizzato fosse subito considerato come affidabile dalla maggioranza dei sistemi operativi e dei browser web. Così Let's Encrypt utilizzò il meccanismo della cross-signature affidandosi a una realtà già nota e riconosciuta come IdenTrust.


Il certificato root messo a disposizione da IdenTrust (DST Root X3) la cui validità è iniziata addirittura nel 2000 scadrà a fine settembre 2021. In questi anni, Let's Encrypt ha cominciato a usare il suo certificato root (ISRG Root X1) che è stato via a via approvato e ritenuto autorevole.

Così dal 1° settembre 2021, Let's Encrypt userà soltanto il suo certificato root mandando definitivamente in pensione l'altro con scadenza imminente.


Let's Encrypt: dal prossimo anno tanti siti web non più visibili con Android

Il fatto è che dal 2016 (anno in cui il certificato ISRG Root X1 è stato universalmente approvato) in avanti alcuni software non sono stati più aggiornati e non conoscono il certificato digitale root di Let's Encrypt.
Risultato? Dal prossimo anno tutti coloro che usano versioni del sistema operativo antecedenti ad Android 7.1.1 sul proprio dispositivo mobile non riusciranno più a visitare le pagine web che si servono di Let's Encrypt. E secondo le stime Let's Encrypt è utilizzato su almeno il 30% dei domini a livello mondiale.

Le date da ricordare per i gestori dei siti web

Dall'11 gennaio 2021 le API di Let's Encrypt saranno aggiornate in modo tale da fornire per default certificati ISRG Root X1. Chi volesse ottenere ancora certificati DST Root X3, è necessario che ne faccia espressamente richiesta all'atto dell'emissione: il client Certbot ad esempio permette di farlo a partire dalla release 1.6.0.
Da settembre 2021, però, chi continuerà a usare Let's Encrypt deve sapere che le sue pagine potrebbero non essere più visitabili con i dispositivi Android più vecchi.

L'unico browser su Android 7 e precedenti che permetterà di continuare ad accedere ai siti facenti uso di un certificato Let's Encrypt sarà Firefox Mobile. Diversamente da tutti gli altri, infatti, il browser di Mozilla integra un suo sistema di gestione dei certificati digitali (come avviene d'altra parte anche su desktop) mantenuto sempre aggiornato.


Maggiori informazioni sono reperibili nella nota pubblicata da Let's Encrypt.

Let's Encrypt: dal prossimo anno tanti siti web non più visibili con Android