O co chodzi? Otóż każdy wydający certyfikaty używane przy szyfrowaniu ruchu HTTP musi je podpisać z pomocą głównego certyfikatu uznanego przez oprogramowanie urządzeń końcowych za zaufany. Let’s Encrypt początkowo korzystało w tym celu z certyfikatu IdenTrust. Od jakiegoś czasu jednak Let’s Encrypt ma jednak swój certyfikat główny ISRG Root X1, który jest dodawany do oprogramowania jako zaufane. Współpracy z IdenTrust więc nie przedłużono i skończy się ona 1 września 2021 roku.

Jeśli jakieś urządzenia nie dostaną do tego czasu aktualizacji dodającej ISRG Root X1 do listy zaufanych, strony korzystające z certyfikatów Let’s Encrypt do szyfrowania ruchu przestaną poprawnie działać. W przeglądarkach będą się wyświetlać błędy szyfrowania, zaś ruch “w tle” (np. korzystanie w aplikacji z API po HTTPS szyfrowanym Let’s Encrypt do pobierania danych) przestanie być możliwy jeśli wykorzystywane były systemowe mechanizmy weryfikacji certyfikatu.

Taki problem dotknie między innymi urządzenia z Androidem 7.1.1 i starsze, ponieważ one nigdy nie dodały ISRG Root X1 do zaufanych i już raczej aktualizacji nie dostaną. Let’s Encrypt ocenia, że stanowią one aż jedną trzecią wszystkich urządzeń z Androidem. W wypadku przeglądarki internetowej, rozwiązaniem może być skorzystanie z Firefoksa, który utrzymuje własną, niezależną od systemu, listę certyfikatów głównych. Google w Chrome też planuje to zrobić. Nie rozwiąże to jednak problemu w wypadku aplikacji korzystających z HTTPS do pobierania danych.

Źródło: Android Police