A vida de quem usa um celular Android antigo poderá ficar mais complicada a partir de 2021. A Let’s Encrypt, uma das maiores autoridades certificadoras do mundo, não irá renovar a parceria que permite que seus certificados HTTPS funcionem com dispositivos baseados no Android 7.1.1 ou anterior. Isso significa que milhões de sites poderão ficar inacessíveis nesses aparelhos.
Hoje, a grande maioria dos sites tem HTTPS. A adoção desse recurso ganhou força depois que o Google passou a sinalizar páginas HTTP como não seguras no Chrome. Além disso, o certificado virou critério de classificação nas buscas: se duas páginas tiverem conteúdo equivalente, a que tiver HTTPS terá mais chances de aparecer em posição privilegiada nos resultados.
Em fevereiro de 2020, a Let’s Encrypt comemorou a marca de 1 bilhão de certificados SSL/TLS emitidos para habilitação de HTTPS. A iniciativa não tem fins lucrativos e, por isso, não cobra pelo serviço. Não surpreende, portanto, que 192 milhões de sites se beneficiem dos certificados emitidos pela organização. Isso com base nos números de fevereiro.
2015 marcou o início das operações efetivas da iniciativa. Naquele ano, a Let’s Encrypt obteve o seu primeiro certificado raiz, o ISRG Root X1. Esse certificado é usado para assinar os certificados intermediários Let’s Encrypt Authority X1 e Let’s Encrypt Authority X2 que, por sua vez, são usados para emitir os certificados que a organização fornece gratuitamente.
Os certificados Let’s Encrypt Authority X1 e Let’s Encrypt Authority X2 também são assinados pelo certificado DST Root X3, da IdenTrust, outra autoridade certificadora.
Como o certificado da IdenTrust já era reconhecido pelos principais sistemas operacionais e navegadores do mercado, a Let’s Encrypt fechou uma parceria de assinatura cruzada com a organização para facilitar a aceitação de seus próprios certificados.
Emissão de certificado Let’s Encrypt (diagrama: Let’s Encrypt)
Só que a parceria entre Let’s Encrypt e IdenTrust vai expirar em 1º de setembro de 2021 e não será renovada. Na verdade, a Let’s Encrypt começará o processo de encerramento da assinatura cruzada muito antes, em 11 de janeiro de 2021. O plano da organização é trabalhar exclusivamente com o seu próprio certificado raiz, afinal, ele já é amplamente aceito.
Mas a própria Let’s Encrypt alerta que essa mudança pode causar um problema de compatibilidade. Softwares não atualizados desde 2016, quando os certificados da entidade passaram a ser amplamente adotados, reconhecem o certificado raiz da IdenTrust, mas não o da Let’s Encrypt.
Isso significa que, com o fim da assinatura cruzada, milhões de sites com certificados da Let’s Encrypt deixarão de ser carregados corretamente em dispositivos antigos, sobretudo naqueles baseados no Android 7.1.1 ou anterior. Estima-se que 33,8% dos aparelhos Android ativos atualmente poderão ser afetados.
Problema sem solução
Não há solução trivial para esse problema. Pelo menos por ora, a Let’s Encrypt descarta outro acordo de assinatura cruzada por entender que esse tipo de parceria implica em uma autoridade certificadora ter que assumir responsabilidade pelo o que a outra faz.
Em nota, a organização também afirma que “se nos comprometermos a oferecer suporte a versões antigas do Android, nos comprometeremos a buscar assinatura cruzada com outras autoridades indefinidamente”.
Até o momento, a única solução apontada pela Let’s Encrypt para quem tem um celular com Android antigo é a instalação do Firefox que, por usar um sistema de armazenamento próprio de certificados, já reconhece o ISRG Root X1. O problema é que esse é só um paliativo. O Firefox não impedirá problemas de compatibilidade relacionados a outros softwares.