Plusieurs millions de smartphone équipés de l’OS Android rencontreront des problèmes de navigation sur certains sites en 2021, rapporte un communiqué de la société Let’s Encrypt.
En effet, le partenariat entre Let’s Encrypt et l’autorité de certification IdenTrust devrait expirer le 1er septembre 2021. Cette collaboration avait abouti à une signature croisée à propos du certificat DST Root X3, l’un des plus populaires du Web, utilisé pour sécuriser la navigation sur les sites utilisant un protocole HTTPS.
En parallèle de ce partenariat, Let’s Encrypt avait travaillé au développement de son propre certificat racine, baptisé ISRG Root X1. Celui-ci a été approuvé par de nombreux navigateurs et systèmes d'exploitation à partir de 2016, dont Android qui l’a inclus dans les versions postérieures à Nougat 7.1.1.
Par conséquent, les utilisateurs d’une version d’Android antérieure à Nougat 7.1.1, équipés de certificats DST Root X3, ne pourront plus consulter les sites en HTTPS qui utilisent le nouvel ISRG Root X1.
«Certains logiciels qui n’ont pas été mis à jour depuis 2016 (à peu près lorsque notre certificat a été acceptée par de nombreux programmes) ne font toujours pas confiance à notre certificat racine, ISRG Root X1», résume ainsi Jacob Hoffman-Andrews, développeur principal chez Let's Encrypt, dans le communiqué.
33,8 % de smartphones Android
Let's Encrypt précise que 33,8% de smartphone tournant sous Android possèdent une version antérieure à Nougat 7.1.1. Ces appareils seront ainsi privés d’accès à environ 30% des sites web à partir dès le 21 septembre 2021.
Pour remédier au problème, Let's Encrypt conseille de changer de smartphone, ou a minima d’installer le navigateur Mozilla Firefox. Celui-ci dispose en effet de sa «propre liste de certificats racine de confiance», dont le ISRG Root X1, contrairement à Google Chrome ou Opéra, qui s’appuient sur les certificats déjà intégrés à l’OS.
«Firefox est actuellement unique parmi les navigateurs, toute personne qui installe la dernière version du navigateur bénéficie d’une liste à jour d’autorités de certificats, même si son système d’exploitation est complètement obsolète», rappelle ainsi Let’s Encrypt dans son communiqué.