Mauvaise nouvelle pour de nombreux propriétaires de smartphones sous Android. Il ne leur sera bientôt plus possible d’accéder à certains sites.

De nos jours, une majorité des sites Internet reposent sur le protocole HTTPS, successeur du HTTP. Il permet de sécuriser la communication entre l’internaute et le site visité via des certificats. L’un des certificats les plus répandus sur le web est le DST Root X3, développé conjointement par les autorités de certification Let’s Encrypt et IdenTrust. Or, ce partenariat s’apprête à prendre fin. Let’s Encrypt souhaite en effet déployer plus largement son propre certificat, ISRG Root X1, sur l’ensemble des navigateurs et systèmes d’exploitation ce qui va avoir un impact pour les utilisateurs Android.

En effet, le changement de certificat va faire qu’un certain nombre de sites Internet ne seront plus accessibles via les smartphones Android sous une version antérieure à Nougat 7.1.1 puisqu’ils ne prennent pas en compte le certificat ISRG Root X1.

Si une majorité des smartphones Android tournent sous une version récente, 33,8% des smartphones disposent encore aujourd’hui d’une version antérieure à Nougat 7.1.1. Cela représente in fine des millions de smartphones. À compter de septembre 2021, ces smartphones ne pourront plus se connecter à un certain nombre de sites Internet ni accéder à certaines applications mobiles qui se connectent à un site en HTTPS pour fonctionner.

Let’s Encrypt prévoit d’arrêter la signature croisée par défaut du certificat co-signé avec IdenTrust dès le mois de janvier ce qui devrait déjà avoir des répercussions pour les propriétaires de smartphones Android.

L’autorité de certificat propose tout de même une solution. Partenaire de Firefox, Let’s Encrypt recommande d’installer ce navigateur Web puisqu’il dispose de « sa propre liste de certificats racines de confiance », dont l’ISRG Root X1, contrairement aux autres navigateurs Internet qui s’appuient sur les certificats intégrés à l’OS du téléphone portable. « Firefox est actuellement unique parmi les navigateurs, toute personne qui installe la dernière version du navigateur bénéficie d’une liste à jour d’autorités de certificats, même si son système d’exploitation est complètement obsolète », précise Let’s Encrypt. Malheureusement, l’autorité de certification ne donne aucune solution pour ce qui est des applications.

Si vous disposez encore aujourd’hui d’un smartphone tournant sous une version antérieure à Android Nougat 7.1.1, il serait peut-être temps de vous procurer un nouveau téléphone, ne serait-ce que pour profiter des dernières mises à jour, mais aussi des correctifs de sécurité puisque Google n’assure plus le support pour les versions d’Android déployées avant 2016.