数字证书的作用不仅限于给网址点亮绿色锁图标,还是各类SSL加密通信的基础。10个月之后,一场由证书过期造成的问题可能将会令大量安卓设备无法正常上网。
事件的主角是为超过2.25亿个网站提供免费数字证书的非营利性机构Let’s Encrypt,它们一直依赖的DST Root X3根证书即将过期,并决定从明年9月份开始启用自己根证书,而不是像过去那样通过IdenTrust交叉签名。
这件事情跟我们有什么关系呢?安卓自带浏览器内置了一些它信任的证书颁发机构,而问世仅5年的Let’s Encrypt并不在安卓7.1之前的信任证书颁发机构列表当中。失去了IdenTrust的交叉签名之后,由于Let’s Encrypt自己的ISRG Root X1根证书不被信任,由它签发的证书将变成“无效”证书。
谷歌已经很久没有更新各安卓版本的分发统计信息,不过Android Studio的数据可以提供一个参考:有33.8%的安卓设备运行着早于7.1版本的系统,其中很多设备应该早就停止了系统更新。
当然,也有玩家认为,按照安卓手机的换机频率,问世于2016或2017年以前的安卓机应该早就退出现役。腾讯移动分析的数据可以印证这一观点:7.1以下版本的活跃安卓设备占比已经不足10%,其中可能还有部分运行安卓系统的电视盒或IOT设备。
虽然这次事件预计会影响超过2亿个“网站”,但这些免费证书有相当一部分免费证书属于个人使用(如访问NAS等),影响范围将是有限的,并且老安卓手机可以安装Firefox等内置更新证书的浏览器来进行规避。
|