Geral 2min de Leitura - 10 de novembro de 2020

Protegidos e proibidos

Celular android sobre a mesa.

This post is also available in: Português

Telefones Android mais antigos não conseguirão acessar alguns sites seguros em 2021. Aparelhos do tipo ainda são usados aos milhares diariamente.

Algumas pesquisas apontam para o fato de que os brasileiros levam de 2 a 3 anos em média para trocar seu celular. Há quem substitua o aparelho com maior velocidade, mas existe uma boa parcela da população que demora mais para trocá-lo. Nesse contexto, são milhares de consumidores utilizando diariamente modelos que ficam cada vez mais desatualizados.

Muitos deles carregam em si sistemas já ultrapassados, como o Android 7.1 Nougat de 2016 ou anteriores. Contudo, há uma má notícia. De 1º de setembro de 2021 para frente, esses telefones não conseguirão se conectar a sites protegidos por certificados Let’s Encrypt Secure-Socket Layer (SSL) / Transport Layer Security (TLS).

Let’s Encrypt é a autoridade de certificação (CA) de código aberto extremamente popular e gratuita. Graças ao seus serviços, mais de um bilhão de sites estão protegidos. Entretanto, o certificado raiz original do Let’s Encrypt, que dependia de uma assinatura cruzada da IdenTrust, “DST Root X3”, expirará em menos de dez meses.

Problema específico

Com a maioria dos sistemas operacionais, isso não seria um problema. Let’s Encrypt agora tem seu próprio certificado raiz, ISRG Root X1, e grande parte dos sistemas operacionais e navegadores podem funcionar com ele. Infelizmente, esse não é o caso do Android – conhecido por não ser atualizado com frequência suficiente.

Esse problema que está por vir, porém, não poderá ser ignorado – nem por fabricantes ou por usuários finais. Assim, dois cenários surgirão. Primeiro: quem ainda estiver usando um desses telefones receberá uma mensagem de erro perguntando se ainda deseja acessar o site cada vez em que for visitá-lo, com grande chance de não conseguir. Segundo cenário: será impossível acessar o site.

Como dito, o Android tem um problema antigo e conhecido com as atualizações do sistema operacional. Existem muitos dispositivos Android no mundo executando sistemas operacionais desatualizados. Motivo: para cada telefone, o sistema operacional Android central é comumente modificado pelo fabricante e pela operadora de celular antes que o usuário final o receba. Quando há uma atualização disponível, tanto o fabricante quanto a operadora precisam incorporar essas mudanças em sua versão personalizada antes de enviá-la. Frequentemente, eles decidem que o esforço não vale a pena. O resultado é ruim para as pessoas que compram esses dispositivos: muitos estão presos a sistemas operacionais que estão desatualizados há anos.

É preciso comprar um novo celular Android?

Não necessariamente. Afinal, é possível instalar o navegador Firefox Mobile – que atualmente suporta o Android 5.0. Isso ajuda porque o Firefox é o único navegador da web que vem com sua própria lista de certificados raiz confiáveis. Portanto, se você usá-lo, obterá uma lista atualizada de CAs confiáveis, mesmo se sua cópia do Android estiver “presa” em uma lista de CAs do passado.

Dessa maneira, o próprio Let’s Encrypt prevê muitos recorrerão a essa solução. De acordo com a empresa, os principais sites ainda recebem de 1% a 5% do tráfego desses dispositivos mais antigos. Em valores absolutos, os números chegam a milhões de usuários.

Assim, é aconselhável que os proprietários de sites já comecem a pensar em colocar avisos automáticos em suas home pages, orientando os usuários sobre tal mudança. Do contrário, alguns internautas podem tender a achar que quem tem problemas é o site, e não o smartphone. É um dos preços a se pagar para se manter atualizado no quesito segurança digital.

This post is also available in: Português