Uppdatering 2020-12-28: Identrust fortsätter att gå i god för Let’s encrypt-certifikaten i tre år till. Läs mer i artikeln Identrust räddar gamla Android-mobiler.
Mobiltillverkarnas ovilja att underhålla gamla Android-modeller ställer inte bara till säkerhetsproblem. Nästa år förhindrar det också gamla Android-mobiler från att ansluta till cirka hälften av världens webbplatser. Detta gäller mobiler som har strandat på Android-version 7.0 (”Nougat”) eller tidigare.
Tidskoder i avsnittet
00.00 Inledning00.58 Återkoppling ang. lösenordshanterare02.42 Uppdatering ang. IOS 1205.40 Månadens patch-tisdag07.35 Utpressarreklam på Facebook11.07 Google Fotos gratiserbjudande begränsas16.35 Slutsurfat för gamla Androider (veckans huvudämne)
Bakgrunden till problemet
För att en webbplats ska stödja säkra anslutningar behöver den ett certifikat. Idag kan de som driver webbplatser få kostnadsfria sådana tack vare den fantastiska tjänsten Let’s encrypt. Då sköts dessutom uppdaterandet av certifikatet automatiskt, vilket har gjort att Let’s encrypt blivit den populäraste certifikatutfärdaren.
Problemet är att det så kallade rotcertifikatet som krävs för att en mobil eller dator ska lita på webbplatsernas Let’s encrypt-certifikat upphör att gälla nästa år. Det ersättande rotcertifikatet installerades i alla stora operativsystem 2016. Än idag används tyvärr många Android-mobiler och ‑surfplattor som inte har uppdaterats sedan dess. Tillverkarna har helt enkelt slutat bry sig om att förse mobil- och surfplattemodellerna med uppdateringar.
Utan ett giltigt rotcertifikat kommer webbläsaren att vägra ansluta till webbplatser som använder Let’s encrypt. Problemet kommer att börja märkas den elfte januari och eskalera i omfattning fram till den första september. Enligt Googles egen statistik påverkas var tredje Android-enhet i världen. Denna statistik baseras på användandet av appbutiken Google Play. Enligt Globalstats statistik, som i stället baseras på webbtrafik, är det cirka var femte Android-enhet som drabbas globalt och var tionde Android-enhet som drabbas i Sverige.
Lösningen på problemet
Mobiltelefoner som kör Android 7.0 (”Nougat”) eller tidigare bör inte användas. Sådana mobiler får inte längre säkerhetsuppdateringar. Google slutade redan förra hösten förse mobiltillverkarna med säkerhetsuppdateringar för Android 7.0 och Android 7.1, så tillverkarna kan omöjligtvis hålla dessa mobiler säkra. De hade behövt uppdatera mobilerna till Android 8 (”Oreo”) eller senare.
Tips! Du kan se vilken version av Android din mobil kör genom att öppna Inställningar, klicka på Om mobilen och skrolla ned till Android-version. Viss variation kan förekomma eftersom många mobiltillverkare anpassar menyerna efter sina egna riktlinjer.
Genom att installera webbläsaren Mozilla Firefox går det ändå att fortsätta surfa på webben från dessa mobiler (även om vi avråder från det). Mozilla underhåller sin egen uppsättning rotcertifikat och deras webbläsare påverkas därför inte av problemet. Mozilla Firefox är gratis och finns att ladda ned till Android 5.0 (”Lollipop”) och senare.
Omtalat i avsnittet
- Poddavsnittet om årets lösenordshanterare
- Poddavsnittet om nya IOS 14
- Novembers säkerhetsuppdateringar
- Utpressningsreklam på Facebook (via Krebs on Security)
- Google Fotos gratiserbjudande begränsas
- Microsoft ångrar sitt obegränsade Onedrive-erbjudande
- Poddavsnittet om farliga certifikat
- Granskningen av svenska universitets webbplatser
- Firefox HTTPS-statistik
Dessa shownotes finns också hos Bredband2 som podden produceras tillsammans med.
Detta poddavsnitt och tillhörande shownotes är publicerade under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.