Как стать автором
Обновить

Комментарии 49

"Переход на https вам ничего не будет стоить" говорили они… Подумаешь, 34% клиентов отвалится.

www.buypass.com/ssl/products/acme — бесплатно и вроде бы отваливаться не собирается. Только wildcard'а нет.
гм. так вроде же можно ручками установить доверенный сертификат в хранилище, нет?

И какой процент пользователей это сделает?

Я сейчас не про пользователей, а про саму техническую возможность.
Просто в статье пишут про обновление прошивки или миграцию на фуррифокс как единственные и безальтернативные способы.
ЕМНИП — это не так, и собственно, установка соответствующей иерархии корневиков — наиболее безболезненный и естественный способ.

"7.1.1 и старше" или всё-таки "младше 7.1"?

старше то, что выпущено раньше, т. е. старее, так что все правильно

Действительно, есть неоднозначность. Можно посчитать, что в свежей версии больше кода, над ней дольше работали, поэтому она старше. Но лучше, наверно, использовать другое слово. К примеру, выше / ниже.

Нет, когда указывается версия считается что версия 1.0 младше версии 7.0
Старше правильно если вы указываете время выпуска: продукты 2010 года старше 2020 года
Младше — синоним моложе, старше — древнее. С точки зрения пользователя версия 7.0 младше, потому что вышла недавно. Обратное — логика разработчиков, которых мало. Крайне неудачная терминология выбрана, буквально запрограммированная путаница.

Разработчики и простые смертные расходятся во мнении даже в "выше/ниже" версий: например, люди вполне законно на базе знаний школьной математики и десятичных дробей считают, что 6.15 — версия ниже, чем 6.2; рядом же идёт неспособность отличить 6.2 от 6.20 :)

Номера версий часто считаются по аналогии с возрастом, ребенок возрастом 4 года ведь младше семилетнего.

А можно было просто сказать: "… и старее".

Кстати интересный момент. Если говорить о версии, то высказывание ошибочно, а если говорить о датах выпуска — версии старше(старее) 7.1.1, то правильное)

Тоже зашёл в пост только из за этого заголовка. Скорее всего более правильно будет написать "ниже".
В целом тема печальная, никогда такого не было и вот опять.

Единственный способ полностью обойти ограничения —в обновлении своей версии Android

Я успешно устанавливал новый корневой сертификат даже в Android 4.0.4, так что эти 34% пользователей просто отдадут устройства знакомым тыжпрограммистам, а те просто установят сертификат

Скорее всего они просто перестанут ходить на эти сайты

Ну неработающую Википедию народ вряд ли сможет проигнорировать

Легко, сейчас можно в Яндексе прямо смотреть.

а можно поподробнее, как и откуда самому этот сертификат установить?

Отсюда https://letsencrypt.org/certs/isrgrootx1.der


При открытии скачанного файла андроид обычно сам предлагает его установить

не, ничего не предложил, тупо скачал… руками открываю спрашивает чем открыть это; у меня не чистый андроид, а Flyme на Meizu
При переходе по ссылке на андроид 5.1.1 выдало что этот сертификат уже установлен в системе.
сайт переадресовал на свой https:// и штатный браузер андроида 4.04 выдал «не могу установить TLS соединение». Замкнутый круг…
но завтра попробую накидать на флешку и поставить с неё.

Лучше писать "Android 7.1.1 и более старых версий" т.к. слово "старше" в данном контексте может трактоваться как "higher", а "7.1.1 and higher" означает "7.1.1 и более новых версий"

Безобразие, что этот Летсэнкрипт себе позволяет?! Сначала обрушили рынок торговли воздухом, а теперь фактически вынуждают производителей телефонов обновлять версию ОС на устройствах с Android 7, вышедшим «всего» четыре года назад. \sarcasm

Ну, серьёзно, ребят — вы годами не обновляете прошивки, оставляя кучу уязвимостей и превращая устройство в решето, а виноват Летсэнкрипт?

Да, потому что он в курсе ситуации и сознательно кидает 34% пользователей.

Не мы не обновляем, а производители. А у нас на новые смартфоны либо денег не особо водится, либо патологическая аллергия на дизайн/тех. решения/интерфейс. Что ж теперь, страдать с омерзительным дизайном и глюками за то, чтобы просто ходить на сайты с бесплатным SSL?
Реплика, в общем-то, и обращена к производителям. Раз нет денег на смартфоны, аллергия и прочие проблемы, но есть в наличии минимальные технические навыки — не вижу проблемы добавить новый корневой сертификат в локальное хранилище и горя не знать. Тем более, что в Фаерфоксе, например, всё и так продолжит работать.
Здесь со стороны владельцев сайтов сложности будут. Вот например сейчас посмотрел на одном проекте — там пользователей со старыми версиями Android 13% от общего числа посетителей. Причем у большинства, скорее всего, технические навыки не позволят не только сертификат обновить, но и понять, что проблема у них, а не с сайтом. В общем, проще пока перейти на другие сертификаты, чем сваливать себе посещаемость на 13%.
Google вроде как собирается встроить хранилище актуальных корневых сертификатов в Chrome, как уже сделано в Firefox. Если подсуетятся до сентября 2021, то проблема для большинства пользователей решится сама собой. Плюс, доля пользователей устройств на устаревшем Android к тому времени ещё упадёт.
еще должны подсуетиться разработчики приложений/игр если их сайты используют Let’s Encrypt.
Если подсуетятся до сентября 2021

Нужно до марта — именно тогда истекает используемый нынче промежуточный сертификат. А почему все делают акцент на корневой сертификат и на сентябрь, я чёт не понял

Не пихайте свою "безопасность" туда кому она не нужна, может у меня старенький смартфон служит как блютуз плеер для музыки, да ломай сколько угодно. Все говорят легко сломать, ни один ещё не продемонстрировал.
Почему я должен переходить на новый андроид, там выпилили те функции к кот. я привык, я не хочу, я консервативен, и ещё ни разу меня не сломали, а взломают так сильно горевать не буду.

Ну, значит со своим стареньким «блютуз-плеером» вы вообще не заметите никаких изменений :) Не вижу причины для возмущения, как и для обновления ОС.
а чё, просто новый корневой сертификат от Let’s Encrypt нельзя будет добавить в доверенные?
Вот как раз и нельзя. Вроде с 6 версии нет такой возможности.
да ладно, а почему я только что себе спокойно их( letsencrypt.org/certs/isrgrootx1.pem и letsencrypt.org/certs/isrg-root-x2.pem) скачал и установил?
на Redmi Note 4X(Android 7.0)
вот скрин
image
Всё есть, только предупреждение вида «сеть может отслеживаться» в раскрытом статусбаре висит.
6.0.1
поставил, 1 раз скипнул из бара и больше непоявляется эта надпись

А добавить в систему корневой сертификат?
Можно даже без рута поставить

А если использовать платный сертификат, то проблема решена на старых версиях?

Смотря от кого

Android 7.1.1 и старше

Конкретно в 7.1.1 новый сертификат уже предустановлен

Представил рекламу платных сертификатов: "нашему сертификату Android доверяет с первой версии"

Ага, и рекламу хостингов — «у нас оставлено настолько старинное и ненадёжное шифрование, что его понимает даже Windows 2000 с IE! SSL 3.0 — бесплатно!».
У платных сертификатов та же самая проблема, например в мае была с Sectigo. Сертификаты были сгенерированы в начале 2000-х на 20 лет, и сейчас стали кончаться. К тому, что это может вызвать проблемы с работой на старом софте почему-то тогда не отнеслись достаточно серьёзно.
В новостях нигде не упоминается, но требуемый корневой сертификат был добавлен Microsoft в середине 2018 года, то есть все Windows без обновлений 2018 года тоже будут под ударом. Подозреваю, что в СНГ количество необновлённых Windows может быть выше обычного, так как многие «умельцы» считают своим долгом отключить обновления. Чтобы избежать недоступности сайта у некоторых пользователей, у себя я организовал редирект на HTTPS только для пользователей с достаточно новыми системами.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.