Qualche giorno fa vi raccontavamo come alcuni vecchi smartphone basati su sistema operativo Android (dalla versione 7.1.1 Nougat in giù) fossero a rischio di non accedere più a una buona parte del Web a causa di quello che potremmo definire un “pasticcio cyberburocratico”. Ebbene, allarme rientrato, grazie a una soluzione altrettanto burocratica ma efficace.
Per farla breve: il problema è partito da Let’s Encrypt, che è una Certificate Authority: si occupa insomma di rilasciare e validare i certificati di sicurezza alla base di connessioni crittografate come l’HTTPS, e al momento gestisce circa il 30% dei domini Web. Il suo primo certificato, ISRG Root X1, è stato rilasciato nel 2016, e quindi le piattaforme software che non sono state aggiornate oltre quella data potrebbero non includerlo. Negli anni precedenti, Let’s Encrypt, che è una società relativamente nuova, si basava sul certificato DST Root X3 “prestato” da un’altra CA, ovvero IdenTrust, e scadrà appunto a settembre 2021.
Questa pratica di farsi “prestare” un certificato, per così dire, viene usata solo in casi eccezionali, soprattutto per aiutare le giovani CA a prendere piede: il motivo è, molto semplicemente, che più entità vengono coinvolte in una catena di fiducia maggiori sono i rischi di sicurezza – ovvero che questa fiducia venga tradita. Let’s Encrypt non pensava che sarebbe stato possibile rinnovare la partnership con IdenTrust, ma le due aziende si sono accordate proprio per evitare di lasciare al buio i vecchi smartphone Android. Il succo, molto semplicemente, è che internet continuerà a funzionare come al solito anche sul “muletto” o sul device del cuore ormai obsoleto che si riaccende una volta l’anno per l’iniezione periodica di nostalgia.