Bezitters van een telefoon met een verouderde versie van besturingssysteem Android moeten opletten: het kan zijn dat ze vanaf september 2021 miljoenen websites niet zomaar meer kunnen bezoeken. De toegang tot deze websites wordt dan voor oudere toestellen geblokkeerd. Dit geldt voor Android-telefoons waar oudere versies van Android op draaien dan het besturingssysteem Android Nougat 7.1.1.
De reden is dat een rootcertificaat - in zekere zin een beginpunt voor het kunnen garanderen van beveiligde verbindingen - waar de organisatie Let's Encrypt gebruik van maakt op 1 september 2021 komt te vervallen. Let's Encrypt is een certificaatautoriteit, en deze term dekt gelijk de lading: het bedrijf wordt beschouwd als een autoriteit op het gebied van het verstrekken van betrouwbare beveiligingscertificaten.
Websites hebben een beveiligingscertificaat nodig om een beveiligde verbinding aan te kunnen bieden, en dat is wenselijk om gevoelige informatie veilig te kunnen versturen en om kwaadwillenden te weren. Als dat vanaf september 2021 op bepaalde toestellen niet mogelijk is, dan wordt de toegang tot de betreffende websites op deze telefoons uit veiligheidsoverwegingen dus geblokkeerd.
Om hoeveel websites gaat het?
Wie de statistieken van Let's Encrypt er eens op naslaat, ziet direct dat het om een heleboel sites gaat: meer dan tweehonderd miljoen unieke websites maken gebruik van een beveiligingscertificaat dat door Let's Encrypt is uitgegeven. Grote kans dat daar ook websites tussen zitten die die jij regelmatig bezoekt.
Om welke websites het gaat, is echter niet bekend. En eerlijk is eerlijk: wie gaat er nou een lijst van tweehonderd miljoen websites doorspitten? Het gaat er in zekere zin vooral om dat je weet dat het een omvangrijk aantal websites betreft en dat je snapt dat de kans groot is dat ook jij tegen problemen aan kunt lopen, als je tenminste verouderde software op je telefoon hebt draaien. En dat brengt ons direct bij het volgende punt.
Voor welke versies van Android gaat dit een probleem worden?
Dit geldt voor alle telefoons waar een oudere versie dan Android Nougat versie 7.1.1 op staat. En dat geldt voor veel meer mensen dan je wellicht zou vermoeden, blijkt ook uit deze afbeelding.
We zien dat 66,2 procent van de gebruikers Android Nougat 7.1 of hoger gebruikt. Dat betekent dat 33,8 procent een oudere versie van Android gebruikt waar de problemen zich vanaf september 2021 voor zullen doen Dat geldt dus voor ongeveer één op de drie bezitters van een Androidtoestel.
Het gaat over het algemeen om oudere toestellen waarvan de fabrikanten om wat voor reden dan ook kunnen besluiten om bepaalde updates niet meer uit te voeren. Daar zit 'm dan ook direct het probleem: Let's Encrypt loopt tegen compatibiliteitsproblemen met het 'eigen' certificaat aan als fabrikanten van oudere toestellen de software niet bijwerken zodat óók deze certificaten worden ondersteund en vertrouwd.
Zijn er oplossingen om dit probleem te omzeilen?
Ja. Als je toestel updates naar een nieuwere versie van Android ondersteunt, dan kun je het besturingssysteem van je telefoon updaten en krijg jij niet met dit probleem te maken. Maar als jouw telefoon dat kan, is er eigenlijk geen reden waarom je op dit moment toch nog verouderde software op je telefoon zou gebruiken. Dit is voor de meesten dan ook een theoretische oplossing.
Gelukkig is er ook een praktische oplossing. Ook voor bezitters van een toestel dat simpelweg te oud is voor een Android-softwareupdate, valt er iets te verzinnen. Deze personen kunnen de webbrowser Firefox van Mozilla downloaden en gebruiken als webbrowser, want via Firefox zal het probleem zich vooralsnog niet voordoen.
Security.nl verwoordt het als volgt: 'Firefox beschikt, in tegenstelling tot veel andere browsers die de root store van het besturingssysteem gebruiken, over een eigen root store met rootcertificaten, waaronder het ISRG Root X1-certificaat. Zodoende kunnen ook gebruikers van oude Androidtoestellen volgend jaar september nog steeds websites met Let's Encrypt-certificaten blijven bezoeken.'
Bron: Androidworld.nl / Letsencrypt.org / Security.nl
