AunqueProject Trebleha desempeñado un papel importante en la mejora de la distribución de las últimas versiones de Android en los últimos años, la fragmentaciónsigue siendo una de las mayores deficienciasdel ecosistema Android. Una gran parte de los dispositivos Android que se utilizan actualmente utilizan versiones obsoletas del sistema operativo, y eso puede provocar diversos problemas. Por ejemplo, muchos sitios web podrían dejar de funcionar en dispositivos Android más antiguos el año que viene debido a la caducidad de un certificado raíz.

Cuando Let's Encrypt, una autoridad de certificación sin fines de lucro que proporciona certificados gratuitos para el cifrado TLS, se lanzó por primera vez hace varios años, la organización realizó firmas cruzadas conel certificado DST Root X3 de IdenTrust, un certificado raíz que se ha utilizado durante años y en el que confían la mayoría de las principales plataformas de software, incluidas Windows, iOS, Android, macOS y muchas distribuciones de Linux. Hasta la fecha, millones de dominios web están protegidos con certificados Let's Encrypt, pero como se señaló en unapublicación reciente del blogde Let's Encrypt, el certificado raíz DST Root X3 caducará el 1 de septiembre de 2021.

La asociación de Let's Encrypt con IdenTrust fue necesaria para que los certificados de la primera fueran rápidamente confiables para los dispositivos existentes, pero al mismo tiempo, la organización emitió su propio certificado raíz (ISRG Root X1) y trabajó para que la mayoría de los principales sistemas operativos confiaran en él. Sin embargo, algunos programas que no se han actualizado desde 2016 no confiarán en el nuevo certificado raíz, lo que incluye dispositivos Android que ejecutan versiones anteriores a la 7.1.1. Por lo tanto, cuando el certificado raíz DST Root X3 expire el próximo año, muchos dispositivos Android más antiguos ya no confiarán en los certificados emitidos por Let's Encrypt y, por lo tanto, recibirán errores de certificado al visitar sitios web cuyo cifrado TLS esté firmado con un certificado Let's Encrypt.

Según lasúltimas estadísticas de distribución de Androidderivadas de Android Studio (que se muestran a continuación), el 33,8 % de los dispositivos Android en circulación en abril de 2020 ejecutan versiones de Android anteriores a 7.1 Nougat. Esto representa alrededor del 1-5 % del tráfico a sitios web que tienen un certificado Let's Encrypt. Si bien el porcentaje de dispositivos que ejecutan versiones anteriores del sistema operativo Android sin duda disminuirá cuando expire DST Root X3 el próximo año, la caída en el porcentaje puede no ser significativa según las tendencias actuales.

Para minimizar el impacto de este cambio para los usuarios finales, Let's Encrypt ha ofrecido dos soluciones. La primera solución, que está dirigida a los propietarios de sitios web, introducirá un cambio en la API de Let's Encrypt en enero del próximo año, de modo que"los clientes de ACME, de forma predeterminada, ofrecerán una cadena de certificados que conduzca a ISRG Root X1.Sin embargo, también será posible ofrecer una cadena de certificados alternativa para el mismo certificado que conduzca a DST Root X3 y ofrezca una compatibilidad más amplia".

Para los usuarios finales que tengan un dispositivo con una versión anterior de Android, Let's Encrypt sugiere instalar Firefox para evitar este problema. A diferencia de las aplicaciones de navegador estándar, que dependen del sistema operativo para obtener la lista de certificados raíz de confianza, Firefox se entrega con su propia lista de certificados raíz de confianza. La última versión deFirefox para Androidincluye una lista actualizada de autoridades de certificación de confianza y permitirá a los usuarios con una versión desactualizada de Android abrir sitios web que tengan un certificado Let's Encrypt.

Actualización 1: Se amplía la compatibilidad de los certificados Let's Encrypt con dispositivos Android más antiguos

Como se anunció hoyen una publicación de blog, los dispositivos Android más antiguos que ejecuten versiones de Android anteriores a 7.1.1 podrán visitar sitios que utilicen certificados Let's Encrypt después de que su asociación de firma cruzada original con IdenTrust expire el próximo año. Resulta que Android no "hace cumplir las fechas de vencimiento de los certificados utilizados como anclas de confianza". Debido a esto, IdenTrust ha emitido un acuerdo de firma cruzada de 3 años para el certificado ISRG Root X1 de Let's Encrypt de su DST Root CA X3, a pesar de que este último expirará el próximo año. Como tal, no habrá impacto en los usuarios con teléfonos Android más antiguos, lo que evita la posible interrupción de muchos sitios web en esos dispositivos.