neprihlásený Nedeľa, 17. januára 2021, dnes má meniny Nataša
Nedávne Androidy budú mať problém s prístupom k množstvu HTTPS stránok

Značky: webbezpečnosťSSL / TLS

DSL.sk, 7.11.2020


Smartfóny a ďalšie zariadenia s pomerne nedávnymi verziami operačného systému Android budú mať v blízkej budúcnosti zrejme problém s prístupom k množstvu HTTPS stránok.

Certifikáty certifikačnej autority Let's Encrypt, ktoré sú využívané množstvom webov, totiž v blízkej budúcnosti ak nepríde k zmene už nebudú akceptované Androidom starším ako 7.1.1.

Let's Encrypt o tom informovala v piatok.

Certifikáty Let's Encrypt doteraz využívali aj podpis koreňovým certifikátom DST Root X3 certifikačnej autority IdenTrust, ktorý je široko akceptovaný a pred niekoľkými rokmi umožnil spustenie Let's Encrypt. Certifikát DST Root X3 ale 1. septembra 2021 exspiruje.

Let's Encrypt má aj svoj koreňový certifikát ISRG Root X1, ktorý je v súčasnosti už tiež široko akceptovaný. Z hlavných platforiem ale nie je prítomný v Androide starších verzií ako 7.1.1.

Certifikáty Let's Encrypt začnú využívať len koreňový certifikát ISRG Root X1 a tým nebudú Androidom starším ako 7.1.1 považované za dôveryhodné. Let's Encrypt preverovala získanie podpisu znovu aj od inej certifikačnej autority, podľa oznámenia to ale vyzerá nepravdepodobne.

Aký podiel majú zariadenia s verziou Androidu staršou ako 7.1.1 nie je jasné, podľa Let's Encrypt ale podiel zariadení s verziou 8.0 a novšou dosahuje 60.8% a s verziou 7.1 a novšou 66.2%. Let's Encrypt neočakáva, že sa podiel zariadení s verziou nižšou ako 7.1.1 do termínu exspirovania DST Root X3 výrazne zmení.

Vydávať certifikáty podpísané ako koreňovým certifikátom len certifikátom ISRG Root X1 tak začne štandardne už 11. januára. Certifikáty od Let's Encrypt majú platnosť len 90 dní a čoskoro by tak mohol používať takéto certifikáty nezanedbateľný počet webov.

Zatiaľ ale Let's Encrypt webom umožní stále získať aj širšie akceptované certifikáty s DST Root X3, akým spôsobom popisuje v oznámení.

Riešením pre užívateľov starších verzií Androidu bude využívať namiesto zabudovaného webového prehliadača napríklad Firefox Mobile, ktorý používa vlastné koreňové certifikáty.

Certifikáty nepovažované za dôveryhodné nezanedbateľným počtom zariadení by ale znamenali veľkú nevýhodu a zatiaľ tak nie je jasné, či postup Let's Encrypt nebude intenzívne kritizovaný a služba nebude nútená zvoliť iný postup alebo či nepríde o veľký počet webov používajúcich jej certifikáty.


      Zdieľaj na Twitteri



Najnovšie články:

Podľa nového CEO Intelu nemôže mať lifestylová Apple lepšie CPU
Apple sa má pri nových MacBook Pro s ARM vrátiť k starším technológiám
Wikipedia má 20 rokov
Výrobca platní pre HDD pre zvýšený dopyt výrazne zvýši produkciu
USA uvalili sankcie na ďalšieho veľkého čínskeho výrobcu smartfónov


inzercia



Diskusia:
                               
 

som zvedavy, ako tato chyba bude odprezentovana v podani orangu, ked v poslednej dobe im ide karta :D
Odpovedať Známka: 9.3 Hodnotiť:
 

na osrateho aj hajzel padne ci jak je to :D
Odpovedať Známka: 4.5 Hodnotiť:
 

dsl.sk bude fungovať aj na nedávnych androidoch.
Odpovedať Známka: 9.3 Hodnotiť:
 

aj na dávnych PDAčkach a tlačiarňach
Odpovedať Známka: 9.2 Hodnotiť:
 

Mam android 4.nieco
Android je shit celkovo
Odpovedať Známka: -6.0 Hodnotiť:
 

Najľepší vťip.

Odpovedať Známka: 1.1 Hodnotiť:
 

Android a certifikáty je fail sám o sebe.. keď si nastavis web ktorý pôjde na Http a aj na https a na https dáš vadný certifikát tak si ta google chrome presmeruje na http lebo vidí že https certifikát je neplatny, a funguje ti to dalej.. nech žije sslstrip
Odpovedať Známka: 6.0 Hodnotiť:
 

Takze fail je vlastne u Chrome, ci?

Okrem toho, je mozne na Androide (na niektorych ale musis mat urcitu uroven ochrany, napr. PIN), instalovat vlastne certifikaty. Nie je to pre BFU uplne na jeden klik, treba stiahnut ten spravny a v tom spravnom formate (moze byt nutna konverzia / zmena pripony) a potom nieco ako Settings > Security > Credential Storage > Install from ....
Odpovedať Známka: 7.1 Hodnotiť:
 

Presne tak, ja mam tak nainstalovany firemny root certifikat, pre pristup k vpn a ine
Odpovedať Hodnotiť:
 

ano, mozno je to fail chrome,
certifikaty sa daju doinstalovat to nieje ziadny problem, nemusis mat certifikat ktory je vygenerovany uz nejakym root-om ktory uz akceptuje, ale to je trochu ina vec pretoze tu sa bavime o tom ze domena a certifikat niesu zhodne
tym ze android sa pripaja sam aj na verejne nezaheslovane wifiny automaticky, a ma xy dalsich nepoochopitelnych veci, je bezpecnost takeho systemu otazna
Odpovedať Hodnotiť:
 

To je blbost, mna nic nepresmeruje. Nemoze to presmerovat.
Odpovedať Hodnotiť:
 

mno nerobil som ziadny vyskum, ale vzdy ked som s byvalkou siel na obed a chceli sme si pozriet ake je dnes menu, tak na mojom BBpassport mi ta stranka nikdy nesla otvorit a po prezreti podrobnosti vidim ze certifikat je uplne inej domeny, jej to slo zobrazit vzdy vpohode.. google vyhladavac vzdy prioritizuje https odkaz, takze pokial funguju obe ukaze https len
Odpovedať Hodnotiť:
 

iba blázon používa nepodporovaný systém..tak sa niet čomu čudovať
Odpovedať Známka: -6.1 Hodnotiť:
 

Pokiaľ je ale systém certifikačných autorít prezentovaný ako základ internetovej bezpečnosti, je potrebné ho rešpektovať, nakoľko iný prístup by bol matematicky priekazne obmedzovaním náboženskej slobody.
Odpovedať Známka: -4.0 Hodnotiť:
 

To ze je nieco starsie a uz to nepodporuju neznamena ze to
nieje pouzitelne.
takyto rychlo rotujuci pristup maju generacie narodene 199x-200x

hlavne ze chcu zit RAW BIO a eko-logicky :P
vacsia sranda bude ked vypnu TLS 1.0/1.1 nie kazde zariadenie
bude vediet ist 1.2/1.3 (rozne media player krabicky)
dost ma stvu niektore podcast CDNka redirektuju http->https
a tam su uz len TLS1.3 takze tie veci musime curlnut lokalne a odtial masinkam hostovat mirror...a pritom kludne by tam mohol byt HTTP
Odpovedať Známka: 6.7 Hodnotiť:
 

pokial si vies importnut vlastny cert, tak mozes spravit transparentne https proxy na linuxe napriklad a netrapit sa z nejakym curlkovanim... My sme tak museli vyriesit jeden obsolete system, ktory uz je pre rozsiahlost neportovatelny na novsiu platformu a tak bezi na starej a cez proxy sa na nu pripajame akoby bol OK :)
Odpovedať Známka: 5.0 Hodnotiť:
 

Celkom by ma to zaujimalo ...

poznas nejaky transparent alebo nieco co dokaze
spravit client http(1.0/1.1) proxy ktore spravi connect na server ktory ti posle Tempovery moved 30x kod a nasledne spravi HTTPS cize TLSv3 alebo SSL na server znovu a klientovi
vrati uz desifrovany HTTP stream?

napr takto by vedeli ist online aj stare OS Amiga/CP a ine Retro
aj ked ja to potrebujem pre HW krabicky ktore ine ako HTTP/HTTPS SSL nepodporuju

STUNEL dokaze ist len priame spojenie akonahle mas subdomenu alebo iny resource na stranke uz STUNEL sa neda vyuzit

priklad www.rtvs.sk ale dalej ides slovensko.rtvs.sk cdn.archiv.rtvs.sk to sa STUNNElom neda spravit..
preto hladam nejaky aplikacny proxy ktory dokaze downgradnut aspon TLS3 na SSL2/TLS1/2
Odpovedať Známka: 0.0 Hodnotiť:
 

Nakoľko metalayer bezpečnostných certifikátov koliduje pri prechode na Web 3.0 aplikácie so štruktúrou sémantiky metadát mikroformátov, či či aky je optimalny workaround je už v kratkoodobom horizonte priekazne úplne irelevantné.
Odpovedať Známka: -4.0 Hodnotiť:
 

Myslim, ze je k dispozicii dostatok navodov ako nastavit napriklad aj uplne jednoduchy apache, aby fungoval ako transparentne proxy aj pre https. Cez iptables presmerujes 443 na lokal, ktory to spracuje a forwarduje poziadavku ako treba...
Na strane proxy ak nemas vyslovene zakazanu podporu niektoreho SSL/TLS, pripadne este aj povolenu ignoraciu pravosti/cerstvosti cert (ak sa napajas na fakt obsolette weby - napr. management stareho switchu, alebo ASM konzolu serveru), tak sa pripoji a nacita skutocne cokolvek a tvojmu PC to bude zasielat v podporovanej verzii ako si nastavis... Rewrite https na http neni moc rozumne, moze to ovplyvnit vela skriptov, to je prave lepsie mat vlastny cert importovany a tympadom nemas problem.
Odpovedať Hodnotiť:
 

Neviem ci sme sa spravne pochopili

My mame problem s klientami ktori ani nevedia ist SSL/TLS

Priklad:
Mas male internetove HW radio urcene pre ludi bez zraku
su tam special cudliky aby si vedel posuvat stream a m3u playlist.

Teraz ten playlist im generujes a prehravace(client-i) si zoznam URL(.m3u)
ale ked narazi na URL ktore hostuje
napr nejaky rozhlas tak ma uzivatel smolu lebo ten ich CDN co
pouziva ta stanica ma TVRDO TLS1.2/v1.3 a to radio pre slepeho nevie... cize skip-ne a ide dalej kym nenajde nieco co vie stiahnut.

Odpovedať Hodnotiť:
 


Potrebujeme aby ten napr APACHe proxy spravil len spojenie ktore PC alebo Malina na jednej strane robila ako to potrebuje Webserver a na opacnom konci to davala TCP bez sifrovania
velmi podobne sa chovaju MIMTproxy tooly ale tam je dovod
ten ze chces vidiet co tam tecie. Tu je dovod ten ze
chces prevazdkovat zariadenie ktore nikdy mat podporu TLSv1.2/v1.3 nebude.

Pritom ludi co pouzivaju taketo strojceky nemozes len tak
zacat ucit pouzivat nieco ine lepsie je tam dat nejaku malinu ktora ponecha to na co su zvyknuty.

Odpovedať Hodnotiť:
 

..ale možno lepšie (pre teba, resp. pre vás, jako spolok poskytujúci služby pre takíchto klientov..) by bolo možno lepšie ich to skusit naučit, "naportovat" ich na nový systém, nech si zvyknú, chvilku by to možno trvalo, - ale zase by ste mali potom aj vy, aj oni, - zase na dlhší čas pokoj, a fungovali by ste naplno na novších zariadeniach, (na (relativne) novšej platforme..

..takto by sa, aj dnes, ~~2000, ~~ 2020++, ešte stále len skúšali prejst na písacie stroje, a telefóny (analogové, vytáčacie.. /príp.kanclové,-stolné -tlačítkové)
Odpovedať Známka: -10.0 Hodnotiť:
 

by si nemal inu moznost?
ked na tvoj HW neexistuju ovladace na novsi android tak mozes ist praskovy cukor fukat...
Zostanes aj pri starej verzii chrome a vsetko ide aj pojde ako sa patri.
Odpovedať Hodnotiť:
 

V tomto prípade nebude žiaden problém s prístupom na dsl.sk
Prezieravé ;-)
Odpovedať Známka: 9.1 Hodnotiť:
 

Najvacsia vyhode LE je v pouzivani wildcard certifikatov zadarmo, pripadne multiSAN, inak je vhodnejsi komercny...

Odpovedať Známka: -6.0 Hodnotiť:
 

Pre množstvo HTTPS stránok je potenciálne namiesto komercneho vhodnejsi ziadny.
Predsalen, koľko vajíčok ide do zemiakového šalátu sa podľa oficiálnych štatistík CSIRT-u zas množstvo hackerských skupín kybernetickými útokmi podsúvať priekazne nesnaží.
Odpovedať Známka: 2.3 Hodnotiť:
 

a na čo je vhodnejší?
Odpovedať Hodnotiť:
 

Zľakol som sa lebo som nevedel aku mam verziu Androidu ale zistil som ze mam 8 takze vsetko v pohode
Odpovedať Známka: 3.3 Hodnotiť:
 

Ja tiež neviem presne akú verziu Androidu mám na S3 mini, ale nakoľko je ten telefón, čo sa týka internetu, offline tak je to úplne v pohode.
Odpovedať Známka: 3.3 Hodnotiť:
 

na S3 mini si nahoď ROM z novafusion.pl... staršiu verziu som používal kým mi S3 neodišla a bolo to OK.
Odpovedať Známka: -3.3 Hodnotiť:
 

..tak celé USA si už tiež škrtám,

tam to zachvílu bude (nejen) vypadat jako nekde v NEGROstánu, v Afrike, v Mogadišu.. :/ :(

a najma jako v JAR
(celá tá situácia..)

ozaj tí bieli vymierajú,
tak -či -tak, abo onak,
proste počty klesajú jak voda pri odlive,
abo spodná voda v studni (na južnej Morave
proste vymierajú

- teda, fakt vymierame :o


Odpovedať Známka: -3.6 Hodnotiť:
 

Svoje nocne mory mozes riesit s terapeutom ;)
Odpovedať Známka: 3.3 Hodnotiť:
 

Ja som zase rad ze moja rasa vymiera a nahradi ju lepsia to mame za to ze sme rasisti
Odpovedať Známka: -2.7 Hodnotiť:
 

zlaté slová, tesať do kameňa
Odpovedať Známka: 0.0 Hodnotiť:
 

Tvrdit ze daky mezuin s AK je lepsia rasa z prvej ?
To vyzera ako tvrdenie pod natlakom.
Treba si vybrat bielu lengorku a sa cinit. Pisanim do blogov situaciu nezachranime.
Odpovedať Známka: -5.0 Hodnotiť:
 

Tvrdit ze daky mezuin s AK je lepsia rasa z prvej ?
To vyzera ako tvrdenie pod natlakom.
Treba si vybrat bielu lengorku a sa cinit. Pisanim do blogov situaciu nezachranime.
Odpovedať Známka: -5.0 Hodnotiť:
 

Android pod 7.1.1 je davny android a nie nedavny. V tom spociva nedorozumenie, ktore moze rozrusit majitelov starsich zariadeni ktore patria do kosa.
Odpovedať Známka: -8.0 Hodnotiť:
 

3-4 ročná vlajková loď ešte zvláda brázdiť vodami internetu.
Odpovedať Známka: 6.4 Hodnotiť:
 

Predpokladam ze vlajkova lod vydana v case ked bol aktualny android 7 dostala update aspon na android 8
Odpovedať Známka: 3.3 Hodnotiť:
 

Ktora 3 rocna vlajkova lod ma android 7? :-O
Odpovedať Hodnotiť:
 

3-4, čiže 5.
Odpovedať Hodnotiť:
 

7.1.1 je davny android z pohladu cisla najnovsieho androidu(11). Z pohladu veku toho androidu/ zariadeni to az taky davny android nieje.
Pol roka dozadu som este pouzival Smartfon so 6-tkou Androidom. Niekdajsi smartfon vyssej triedy a fungoval v pohode dokial sa HW nepokazil.
Preco by som mal vyhadzovat nieco co je funkne len preto, ze vyrobca/Google zasekol podporu?

Ked si pozeral tie cisla, tak 36% pouzivanych telefonov pouziva starsi Android ako 7.1.1

To je nestastie tejto doby. Kopec veci zbytocne moralne zastarava a generujeme tym kopec odpadu.
Odpovedať Známka: 8.3 Hodnotiť:
 

a prečo furt ktosi čosi špekuluje so stránkami? Pamätáš Gmail iba pre vyvolených a neskôr na pozvánky? Na email.cz som mal schránky s max. 10 MB celkovým obsahom.
Teraz aby si človek kvôli zasratým stránkam Internetu kupoval nový OS, ktorý pobeží na novom HW. Celé zle!
Aby si správy - poondiate správy písali na neviem akých displejoch na drahých mobiloch. To už je mi pokrok!
Odpovedať Známka: 1.4 Hodnotiť:
 

https://www.needrom.com/
Odpovedať Hodnotiť:
 

Hahaha preto nikdy nechcem Android, navždy iOS
Odpovedať Známka: -5.4 Hodnotiť:
 

Jasne, lebo iOS je vseliek.

iPad - maximalne iOS 5.1.1

iPad 2 +3 - maximalne iOS 9.3.5

iPad 4 - maximalne iOS 10.3.4
A to je celkom dobry kus HW, len vela appiek je uz len pre iOS 11, napriklad MS TEAMS.
Na Androide si aspon mozes vyskusat nejaku custom ROM a vdychnut HW, ktory este zvlada veci nejaky zivot.

Na iPhone je situacia podobna, cokolvek horsie ako iPhone 7,6s,SE ma Apple v/na (prosim doplnit), teda podpora je tak max 4 roky a vacsinou najnovsia verzia iOS dost spomali bezne fungovanie. A to ma Apple ovela lahsiu situaciu ako vyrobcovia s Androidom.

Preto nikdy nechcem iOS.
Odpovedať Známka: 5.7 Hodnotiť:
 

Vsetko je to ale 5 alebo viac rokov v podpore.
Za to niektore androidy maju podporu ziadnu, alebo len prvy rok alebo teraz po novom snad aj dva. Cest vynimkam.

Ano, XDA poznam, svojho casu som tam bol velmi casto.

Co sa tyka aplikacii, to je dan za all in cloud. Prevadzkovatel nema zaujem prevadzkovat stary kod. Potrebuje neustale vytvarat dojem, ze prinasa novinky a zlepsuje pracu ludi.
Odpovedať Hodnotiť:
 

minuly tyzden som si na moju z3 compact hodil najnovsi lineage a csob smarttoken aplikacia zacala vyhadzovat, ze zariadenie nesplna bezpecnostne poziadavky a ani sa nespusti, tak ze ok android 10 je asi nebezpecnejsi ako 6..
Odpovedať Známka: 3.3 Hodnotiť:
 

safetynet kontrola ti asi nič nehovorí..načo inštaluješ systém, ktorému ani nerozumieš?
Odpovedať Známka: -1.1 Hodnotiť:
 

Boh je tiež evolucionista, lebo iné hobby priekazne mať nemôže.
Odpovedať Známka: 0.0 Hodnotiť:
 

asi nie, pouc ma prosim
Odpovedať Známka: -3.3 Hodnotiť:
 

Načo mi je nejaký certifikát?
Odpovedať Známka: -2.5 Hodnotiť:
 

aby ťa pustili do obchodu, mimo okres, reštauracie
Odpovedať Známka: 7.1 Hodnotiť:
 

ale šak vraveli že ten v telefóne neplatí !
Odpovedať Známka: 10.0 Hodnotiť:
 

A je to tak len a len DOBRE!
Odpovedať Známka: -6.7 Hodnotiť:
 

Tiež ho používam na komunikáciu messenger , na počasie , email , atď .... Hlavne výborný na navigáciu za jedno euro
Odpovedať Hodnotiť:

Pridať komentár