Si usas certificado Let’s Encrypt, tu web dejará de verse en 2021 por millones de android

Let’s Encrypt ha ayudado a millones de sitios web a tener un certificado HTTPS sin coste, ofreciendo una ruta segura para el tráfico. Se usa actualmente por más de 192 millones de sitios, y sufrirá un cambio importante en 2021 que afectará a todos los sitios donde esté instalado.

Let’s Encrypt nació en 2015, y además de su propio certificado raíz usa también un certificado con firma cruzada de IdenTrust, otra autoridad certificadora. Esta asociación termina en 2021, cuando Let’s Encrypt solo usará su propio certificado, que no es compatrible con dispositivos android con versiones 7.1 o anterior (algo que ocurre con el 34% de los móviles android).

Aunque el fin de la asociación solo ocurrirá el 1 de septiembre de 2021, Let’s Encrypt está dando un paso preventivo y está cambiando su API para usar su propio certificado de forma predeterminada a partir del 11 de enero, momento en el que millones de teléfonos android verán un mensaje de error al acceder a tu página.

No solo ocurrirá con androids viejos, también con algunos software que no se han actualizado desde 2016 y que aún no confían en el certificado raíz de Let’s Encrypt.

Una solución para este problema es instalar y usar el navegador Firefox de Mozilla en estos dispositivos, ya que usa su propia lista de certificados raíz para validar sitios, aunque claro, es una solución que pocos usarán. Podemos poner un banner pidiendo a los usuarios de Android en sistemas operativos más antiguos que instalen Firefox, o volver a HTTP para versiones anteriores de Android o cambie a una CA que esté instalada en esas versiones anteriores… ninguna de ellas es una solución ideal.

El caso es que, cuando llegue el 11 de enero y el 34% de los móviles android dejen de poder acceder a millones de sitios web, seguramente se buscará una solución urgente para actualizar su versión android. Otra opción es cambiar el certificado y dejar de usar Let’s Encrypt, aunque hacer eso en 192 millones de sitios antes del 11 de enero es algo impensable.

Más información sobre el tema en letsencrypt.org.