Пользователи Android 7.1.1 и более старых версий не смогут открывать защищённые Let's Encrypt сайты с января

[VolCh]

"Переход на https вам ничего не будет стоить" говорили они… Подумаешь, 34% клиентов отвалится.

[AEP]

www.buypass.com/ssl/products/acme — бесплатно и вроде бы отваливаться не собирается. Только wildcard'а нет.

[ne_kotin]

гм. так вроде же можно ручками установить доверенный сертификат в хранилище, нет?

[valera5505]

И какой процент пользователей это сделает?

[ne_kotin]

Я сейчас не про пользователей, а про саму техническую возможность.
Просто в статье пишут про обновление прошивки или миграцию на фуррифокс как единственные и безальтернативные способы.
ЕМНИП — это не так, и собственно, установка соответствующей иерархии корневиков — наиболее безболезненный и естественный способ.

[Vort123]

"7.1.1 и старше" или всё-таки "младше 7.1"?

[usrsse2]

старше то, что выпущено раньше, т. е. старее, так что все правильно

[Vort123]

Действительно, есть неоднозначность. Можно посчитать, что в свежей версии больше кода, над ней дольше работали, поэтому она старше. Но лучше, наверно, использовать другое слово. К примеру, выше / ниже.

[novoselov]

Нет, когда указывается версия считается что версия 1.0 младше версии 7.0
Старше правильно если вы указываете время выпуска: продукты 2010 года старше 2020 года

[altai2013]

Младше — синоним моложе, старше — древнее. С точки зрения пользователя версия 7.0 младше, потому что вышла недавно. Обратное — логика разработчиков, которых мало. Крайне неудачная терминология выбрана, буквально запрограммированная путаница.

[Chupaka]

Разработчики и простые смертные расходятся во мнении даже в "выше/ниже" версий: например, люди вполне законно на базе знаний школьной математики и десятичных дробей считают, что 6.15 — версия ниже, чем 6.2; рядом же идёт неспособность отличить 6.2 от 6.20 :)

[iDm1]

Номера версий часто считаются по аналогии с возрастом, ребенок возрастом 4 года ведь младше семилетнего.

[StjarnornasFred]

А можно было просто сказать: "… и старее".

[Volkodlak]

Кстати интересный момент. Если говорить о версии, то высказывание ошибочно, а если говорить о датах выпуска — версии старше(старее) 7.1.1, то правильное)

[p_VS]

Тоже зашёл в пост только из за этого заголовка. Скорее всего более правильно будет написать "ниже".
В целом тема печальная, никогда такого не было и вот опять.

[andreymal]

Единственный способ полностью обойти ограничения —в обновлении своей версии Android

Я успешно устанавливал новый корневой сертификат даже в Android 4.0.4, так что эти 34% пользователей просто отдадут устройства знакомым тыжпрограммистам, а те просто установят сертификат

[andreymal]

Ну неработающую Википедию народ вряд ли сможет проигнорировать

[nikolayv81]

Легко, сейчас можно в Яндексе прямо смотреть.

[oleoleole]

а можно поподробнее, как и откуда самому этот сертификат установить?

[andreymal]

Отсюда https://letsencrypt.org/certs/isrgrootx1.der

При открытии скачанного файла андроид обычно сам предлагает его установить

[oleoleole]

не, ничего не предложил, тупо скачал… руками открываю спрашивает чем открыть это; у меня не чистый андроид, а Flyme на Meizu

[MikFoxi]

При переходе по ссылке на андроид 5.1.1 выдало что этот сертификат уже установлен в системе.

[ISVLabs]

сайт переадресовал на свой https:// и штатный браузер андроида 4.04 выдал «не могу установить TLS соединение». Замкнутый круг…
но завтра попробую накидать на флешку и поставить с неё.

[alan008]

Лучше писать "Android 7.1.1 и более старых версий" т.к. слово "старше" в данном контексте может трактоваться как "higher", а "7.1.1 and higher" означает "7.1.1 и более новых версий"

[ky0]

Безобразие, что этот Летсэнкрипт себе позволяет?! Сначала обрушили рынок торговли воздухом, а теперь фактически вынуждают производителей телефонов обновлять версию ОС на устройствах с Android 7, вышедшим «всего» четыре года назад. \sarcasm

Ну, серьёзно, ребят — вы годами не обновляете прошивки, оставляя кучу уязвимостей и превращая устройство в решето, а виноват Летсэнкрипт?

[Voiddancer]

Да, потому что он в курсе ситуации и сознательно кидает 34% пользователей.

[namikiri]

Не мы не обновляем, а производители. А у нас на новые смартфоны либо денег не особо водится, либо патологическая аллергия на дизайн/тех. решения/интерфейс. Что ж теперь, страдать с омерзительным дизайном и глюками за то, чтобы просто ходить на сайты с бесплатным SSL?

[ky0]

Реплика, в общем-то, и обращена к производителям. Раз нет денег на смартфоны, аллергия и прочие проблемы, но есть в наличии минимальные технические навыки — не вижу проблемы добавить новый корневой сертификат в локальное хранилище и горя не знать. Тем более, что в Фаерфоксе, например, всё и так продолжит работать.

[ganzmavag]

Здесь со стороны владельцев сайтов сложности будут. Вот например сейчас посмотрел на одном проекте — там пользователей со старыми версиями Android 13% от общего числа посетителей. Причем у большинства, скорее всего, технические навыки не позволят не только сертификат обновить, но и понять, что проблема у них, а не с сайтом. В общем, проще пока перейти на другие сертификаты, чем сваливать себе посещаемость на 13%.

[VEG]

Google вроде как собирается встроить хранилище актуальных корневых сертификатов в Chrome, как уже сделано в Firefox. Если подсуетятся до сентября 2021, то проблема для большинства пользователей решится сама собой. Плюс, доля пользователей устройств на устаревшем Android к тому времени ещё упадёт.

[Incognito90]

еще должны подсуетиться разработчики приложений/игр если их сайты используют Let’s Encrypt.

[andreymal]

Если подсуетятся до сентября 2021

Нужно до марта — именно тогда истекает используемый нынче промежуточный сертификат. А почему все делают акцент на корневой сертификат и на сентябрь, я чёт не понял

[andreymal]

А не, нашёл в другом посте такую инфу (хотя не знаю, актуальна ли она):

we will obtain a new cross-signature that is valid until September 29, 2021.

[chenado]

Не пихайте свою "безопасность" туда кому она не нужна, может у меня старенький смартфон служит как блютуз плеер для музыки, да ломай сколько угодно. Все говорят легко сломать, ни один ещё не продемонстрировал.
Почему я должен переходить на новый андроид, там выпилили те функции к кот. я привык, я не хочу, я консервативен, и ещё ни разу меня не сломали, а взломают так сильно горевать не буду.

[ky0]

Ну, значит со своим стареньким «блютуз-плеером» вы вообще не заметите никаких изменений :) Не вижу причины для возмущения, как и для обновления ОС.

[ILDAR_BAHTIGOZIN]

а чё, просто новый корневой сертификат от Let’s Encrypt нельзя будет добавить в доверенные?

[namikiri]

Вот как раз и нельзя. Вроде с 6 версии нет такой возможности.

[ILDAR_BAHTIGOZIN]

да ладно, а почему я только что себе спокойно их( letsencrypt.org/certs/isrgrootx1.pem и letsencrypt.org/certs/isrg-root-x2.pem) скачал и установил?
на Redmi Note 4X(Android 7.0)

вот скрин

[dvrpd]

Всё есть, только предупреждение вида «сеть может отслеживаться» в раскрытом статусбаре висит.

[ajijiadduh]

6.0.1
поставил, 1 раз скипнул из бара и больше непоявляется эта надпись

[Incognito90]

А добавить в систему корневой сертификат?
Можно даже без рута поставить

[JesterSoft]

А если использовать платный сертификат, то проблема решена на старых версиях?

[VolCh]

Смотря от кого

[andreymal]

Android 7.1.1 и старше

Конкретно в 7.1.1 новый сертификат уже предустановлен

[VolCh]

Представил рекламу платных сертификатов: "нашему сертификату Android доверяет с первой версии"

[ky0]

Ага, и рекламу хостингов — «у нас оставлено настолько старинное и ненадёжное шифрование, что его понимает даже Windows 2000 с IE! SSL 3.0 — бесплатно!».

[tcapb1]

У платных сертификатов та же самая проблема, например в мае была с Sectigo. Сертификаты были сгенерированы в начале 2000-х на 20 лет, и сейчас стали кончаться. К тому, что это может вызвать проблемы с работой на старом софте почему-то тогда не отнеслись достаточно серьёзно.

[VEG]

В новостях нигде не упоминается, но требуемый корневой сертификат был добавлен Microsoft в середине 2018 года, то есть все Windows без обновлений 2018 года тоже будут под ударом. Подозреваю, что в СНГ количество необновлённых Windows может быть выше обычного, так как многие «умельцы» считают своим долгом отключить обновления. Чтобы избежать недоступности сайта у некоторых пользователей, у себя я организовал редирект на HTTPS только для пользователей с достаточно новыми системами.