Názory k článku Let's Encrypt se staví na vlastní nohy, změna kořene odřízne třetinu Androidů

To v tom uzasnem Androidu neni funkce pro pridani systemoveho certifikatu? Jo aha, to by potrebovalo roota, tak zas nic.

V Androidu 5 i 6 (aspoň na tabletech Lenovo, co jsem měl), certifikát důvěryhodné autority přidat šel, root nebyl potřeba.
Ovšem jakýsi bezpečnostní hlídač od Lenova se při každém spuštění vztekal, že mám kompromitované zařízení.
Jiná věc jsou ty letopočty.
Android 7.1.1 byl vydaný 2016, ovšem jak dlouho se ještě prodávala zařízení se starším Androidem? Obávám se, že nejmíň rok, a u kategorie "cena rozhoduje především" možná i delší dobu, a hlavně s minimální šancí na upgrade, a rovněž s minimální šancí na update CA. Navíc tohle asi budou mít lidi, kteří ten update stejně neudělají.

Odladit novou verzi Androidu na nějaké zařízení je prostě drahé. Cena mobilu je dnes z poměrně značné části tvořena právě poplatkem za SW a jeho následný support. Když někdo koupí levný mobil s dobrou HW výbavou, tak to logicky je na úkor SW podpory.

U některých lidí to dává smysl, lidé na stavbách, automechanici apod ... zničí mobil několikrát do roka, tak je to jedno. Ale když někdo kupuje mobil s představou, že ho bude používat více jak 2 roky, měl by na toto myslet. On pak ten nenáviděný iPhone se SW supportem na minimálně 5 let najednou není tak drahý, jak to na první pohled vypadá.

2016+5=2021, takze to mate +/- rovnake ako ten android 7

Jenže Apple aktualizuje zařízení zpětně :-). Konkrétně ISRG byl poprvé uvedený v iOS 9.něco, který lze nainstalovat až na iPhone 4S z roku 2011!

Kolik Androidů z roku 2011 lze aktualizovat (systémem od výrobce) na Android 7? (Sám opravdu nevím, tuší někdo?)

No to nemáte, protože Android 7.1 dostal poslední aktualizaci před 13 měsíci a vsadím se, že na většinu low-end telefonů se ani nedostala.

Já naivka předpokládám, že mobil vydrží tak 5 až 10 let, jako ty předchozí... Druhým rokem sháním náhradu za telefon, co odešel po osmi letech spokojeného provozu.

Možná Fairphone3+?
Dokonce v balení dostanete i šroubovák. Ale bojím se, že aktualizace budou rovněž váznout, jelikož u FP1 i 2 se na ně dost dlouho čekalo, a FP3 není v AndroidOne.

Já si myslím, že dnes už je tolik navázaných služeb a lidé je čím dál víc využívají, že ať děláte, co děláte, tak mobil morálně zastará poměrně rychle.

Ti, co si kupují "cena rozhoduje především" to samozřejmě odnesou nejvíc. Je zažitá taková uživatelská představa "já žádnou podporu nepotřebuju, mně stačí jen, aby to fungovalo".

Pokud lidem služby přestanou fungovat, alespoň si uvědomí svoji závislost na nich. Jedinec, spotřebující elektřinu, nemusí nutně mít v mobilu aplikaci na její sledování. Prostě dojde k elektroměru pěšky.

@BobTheBuilder
... Android 7.1.1 byl vydaný 2016, ovšem jak dlouho se ještě prodávala zařízení se starším Androidem? Obávám se, že nejmíň rok, a u kategorie "cena rozhoduje především" možná i delší dobu...

Kupoval jsem si nový matlafoun na konci roku 2017 a stál cca 10 tyček.
A ani tehdy, ani dnes si nemyslím, že za tyto peníze bych si kupoval něco, co mám za 2 roky vyhodit, že to je obyčejné spotřební zboží.

Podle info uvnitř to má Android 7.0, po několika (málo) aktualizacích je verze jádra (prý) ze září 2018.

Mobil krásně funguje (až na nějaké problémy s automatickým "překlapěním" obrazu).

Tak se ptám:
1. Je to zařízení na vyhození?
2. Je tu někdo, kdo si kupuje mobil za 15 tisíc a víc s tím, že to bere jako spotřební zboží a že to za rok, dva vyhodí?

Taky tady je vetsi koncentrace geeku co si kupuji mobil kazdy rok.
Proto je tezke si predstavit ze nekdo chce mit telefon na telefonovani a ze ocekava ze jim vydrzi dele.

Jinak u veci se pozudzuje kolik to stoji mesicne a tedy jestli je to telefon za 12 tisic a ma vydrzet roky pak je to 500/mesic. Coz se na mne nezlobte je neuveritelne drahe pro normalniho cloveka. Jen si vemte 4 clenou rodinu to by vyhodila 2000 jenom za telefony.

Máte asi tak dvě možnosti, co s tím dělat:

A. U příštího telefonu vezmete v úvahu u dobu podpory. Možná to bude stále trochu kompromis, ale na 3 roky podpory v podobě měsíčních bezpečnostních aktualizací se u Androidu lze dostat. Což je rozhodně více než teď. Může s tím částečně pomoci i seznam od Googlu: https://www.android.com/enterprise/recommended/ .
B. Budete si stěžovat, jaký máte špatný telefon.

C. Pořídí si telefon oficiálně podporovaný v LineageOS. Nexus 4 byl takto podporovaný snad 7 let.

@hawran.diskuse

Nechci si kupovat mobil, ani auto každé dva, tři roky.
Nicméně vidím to v aktuální situaci jako menší zlo, vyjde to efektivněji.

Otázka, kterou si vždy kladu je spíš:
- vyplatí se mi riskovat, že mi na levné ojetině odejde drahý díl?
- vyplatí se mi starosti (výpadek), když mi mobil vypoví službu v nevhodnou chvíli?
- co mě bude stát, kromě opravy nebo pořízení nového, abych v mezičase měl náhradní auto nebo mobil?

Odpovědi na tyto otázky jsou samozřejmě subjektivní, a dokonce i u stejné osoby se mohou lišit zrovna podle pracovního / životního období.

Je známé, jaké problémy přináší používání starého Androida. Příhoda s certifikáty je jen jednou z mnoha. Záleží na každém, jestli je považuje za důležité, nebo je přejde či po večerech nějak vyřeší ručně. Výrobci se k tomu zadarmo (tj. bez pravidelného přísunu peněz) sami hlásit nebudou. Je poměrně logické, že pokud nemohou dostat od uživatele pravidelné výpalné, že raději tlačí na touhu po obměně.

Tedy mám mobil z 11/2016 běžící na Androidu 5.1 a zajímalo by mě jaké že problémy mě přináší jeho používání ? Zatím jsem zaznamenal pouze to, že zatímco eroušku1 jsem nainstaloval bez problémů, eroušku2 používat nemohu, protože chce verzi alespoň 6. Na nic jiného jsem zatím nenarazil a není to tím, že mobilu jen telefonuju.

@předřečníci

Pro Boha, dyk ten mobil je pořád ještě nadupanější než počítače, co mi stačily do nedávné doby, displej celkem paráda, ten HW určitě ještě není "starý".

Já nepotřebuju grafické vyfikundace posledního Androida, ani toho, co přijde potom. No, asi ani těch dalších.

Mi bohatě stačí systém, co tam mám teď, stačily by jen ty bezpečnostní záplaty a podobné věci...

Mi bohatě stačí systém, co tam mám teď, stačily by jen ty bezpečnostní záplaty a podobné věci...

Tak teď ještě přesvědčte nějakého výrobce, že se mu takový servis vyplatí.

Tak ale člověk má na výběr. To je jak s jídlem, někdo dá za snídani 10kč a někdo 1000 kč atd. To samé je u mobilů. Pokud na to nemám a nebo nechci mít, tak si prostě koupím telefon kolem pár tisíc (tak to dělám já kupuji telefony od 2000 - 4000) a mám je cca 1 až 2 roky (měl bych je občas i déle ale většinou je prostě poškodím nebo ztratím).

Aktuálně mám Motorola One Action a stál asi 4000 a je super, má pravidelné aktualizace, takže pokud se mi nerozbije nebo jej neztratím, případně neodejde baterie tak věřím že ty 2 až 3 roky v pohodě dá.

Jednou za čas si zkusím koupit dražší mobil, naposled to byl Samsung A40 a většinou to dopadne že jej mám tak půl roku. Důvod je ten že je to většinou vetší mrdka než ty levné. Ten A40 jsem během prvního roku čtyřikrát reklamoval ale tu poslední reklamaci samozřejmě "neuznali", ale přišel mi uplně novej telefon ale i ten do měsíce začal blbnout, tak jsem ho dal tříleté dceři na hraní jako maketu.

Přidat systémový certifikát není problém i bez roota. Jen se to systému moc nelíbí a vyžaduje zamykání telefonu

Jako že systém něco „požaduje“ a ty, jako jeho majitel a uživatel, s tím nemůžeš nic dělat? To zní absurdně.

Absurdně? V autě nemůžete vypnout bezpečnostní systémy. Televizor taky nepřemluvíte, aby dělal něco jiného, než co mu určil výrobce - jakkoliv by to hardware zvládal.

Na tom není nic absurdního. Absurdní je, že si někdo koupí výrobek a bez předchozího zjištění předpokládá, že si ho upraví a půjde to. Výrobci jde zcela pochopitelně (a nezaslouží si to žádné opovržení) o snížení nákladů. Snížení se dosáhne tím, že se vytvoří specifikace, co má telefon umět a to výrobce dodá. Nemusí dodat ani o chlup víc, ani nemusí řešit aktualizace po skončení prodeje, a je to fér vůči spotřebiteli.

Nicméně, aby to nebylo tak tvrdé, Google klade na výrobce určité požadavky, jinak jim licenci na Android neposkytne.

Další možností by bylo, kdyby se určily požadavky zákonem - pak by měli všichni výrobci před sebou stejnou metu.

Dobrovolně to výrobci, zvláště ti, co se zaměřují na levnější část trhu, respektovat nebudou. Byli by sami proti sobě (a svým akcionářům).

Ja teda mam v aute tlacitko ESP OFF, a taky je moznost vypnout AIRBAG (u spolujezdce). Nektere - i takto "nebezpecne" veci - proste jdou udelat a auto se vztekat nebude. (jina vec je, kdyz odejdou nejake snimace, to se pak vzteka vic, ale odnesou to jen navazane systemu - jezdit s tim porad jde)

> V autě nemůžete vypnout bezpečnostní systémy. Televizor taky nepřemluvíte, aby dělal něco jiného, než co mu určil výrobce - jakkoliv by to hardware zvládal.

Oboje uvedené považuji za špatné. U auta je to trochu sporné při provozu na veřejných komunikacích kvůli homologaci pro bezpečnost, ale telefon (což je v dnešní době univerzální počítač -- než na mě zase někdo vytáhne argument Nokií 3310) a televize tyto případy nejsou.

> Absurdní je, že si někdo koupí výrobek a bez předchozího zjištění předpokládá, že si ho upraví a půjde to.

Nemáte na výběr, když je všechno jenom Android a iOS. A absurdní je, že to lidem přijde normální. A děsím se hlavně toho, že se tohle brzy rozšíří na počítače.

Tohle jsem zkousel, ale stejne jsem mel problem. Nakonec jsem musel starsi Lenovo tablet rootnout, stahnout z Googlu aktualni seznam certifikacnich autorit, smazat ty puvodni, zkopirovat tam ty ztazene a nakonec jsem tablet zase unrootnul. Ted uz chodi prohlizec (Chrome) normalne. Bohuzel jsem na to rozumny navod nenasel, zpusobu jak rootnou tablet je mnoho, nektere z nich nefunguji, jine jsou fejky. Je to opravdu hnus. Stravil jsem s tim mnoho hodin, ale nakonec se to podarilo.

Jo, lze. Kolik uživatelů tak staré verze to udělá?

Všichni, kdo ještě mobil používají pro běžné prohlížení webu (tj. využívají víc, než třeba jen Google a Facebook). Protože bez toho přidání jim prostě spousta webů nebude fungovat.

Nebo použijou Firefox, který si tahá kryptografii včetně certifikátů vlastní.

No je pravděpodobný, že se i u Chromu dočkáme toho stejnýho https://www.zdnet.com/article/chrome-will-soon-have-its-own-dedicated-certificate-root-store/

Jak je na tom Android verze netuším, ale desktop Chrome k tomu směřuje.

Jak si u Firefoxu pro Android zobrazím detaily certifikátu konkrétního webu?

To jsou uživatelé, kteří mají důvod tam udělat. Rozhodně ale nejde vždy o uživatele, kteří to zvládnou udělat, ani o uživatele, kteří tak opravdu učiní. Osobně tipují, že tak učiní naprostá menšina.

Myslíte, že naprostá většina uživatelů prostě přestane používat spoustu služeb, které doteď používali, a nebude to nijak řešit? Nemyslím si, že by to tak bylo – řešit to budou, a buď si zařídí instalaci nového kořenového certifikátu, nebo pořídí nový telefon. Těch, kteří to řešit nebudou, nebo nedokážou najít nikoho, kdo by jim s řešením pomohl, bude minimum.

Horší to bude s těmi, kteří normálně používají jen Google a Facebook. Ti to řešit nebudou, a pokud budou občas potřebovat jiný web, nebude jim fungovat. Protože se s tím ale setkají výjimečně, budou to považovat za chybu toho webu a nebudou mít potřebu to řešit.

Spomína sa tu Android, ale mne sa vidí, že Windows 7 je na tom rovnako. Taktiež už nie sú podporované, a nech pozerám ako pozerám, ISRG Root X1 v certificate store nevidím.

powershell -Command Get-ChildItem -Recurse Cert: | find "ISRG"


Samozrejme, jeden dôležitý rozdiel tu je: keby Microsoft chcel, tak ISRG Root X1 pridá omnoho ľahšie, než je to možné vo svete Androidu.

Rozdíl je spíše v tom, že když chce uživatel Windows, má možnost dát tam podporovanou novější verzi. Tuhle možnost uživatel Androidu nemá a musí spoléhat na výrobce. To je dlouhodobá bolest většiny elektroniky, osobní počítače jsou v tom spíše výjimkou.

To už ale hovoríte o tom, že používateľ vykoná akciu/údržbu.

Mne robí starosti tá väčšina používateľov, ktorí si sami nič nenainštalujú. Žijú v iných svetoch (ich špecializáciou nie je IT), zariadenia ako PC alebo smartfón vedia nejako použiť, ale je mimo ich obzor sa o zariadenie starať.

Ak sa bavíme o ľuďoch, ktorí vedia čo a ako, tak aj na Androidoch je aká-taká šanca na upgrade, hoci nie priamo od výrobcu zariadenia.

To je dlouhodobá bolest většiny elektroniky, osobní počítače jsou v tom spíše výjimkou.

Proč bolest? Když se podívám, jak klesá cena elektroniky vůči průměrné mzdě, dokonce klesá i v absolutních číslech, tak je klidně možné, že to není žádná bolest, ale důsledek toho, co lidé preferují. Bude to jako s potravinami. Koupíte buřt s masem, nebo s pilinami. Jediné, co je potřeba je, aby to bylo vyznačeno (na to chybí u elektroniky jakákoliv legislativa), a taky ochota lidí si to připustit a přemýšlet nad tím.

V tomto ohledu selhávají i média. Výrobci elektroniky jsou důležití zadavatelé reklamy, takže se žádná redakce nehrne do subjektivního testování značek. Všichni testují jen technické parametry, skóre benchmarků. Subjektivně se testují možná ještě tak foťáky. Samozřejmě je i levnější vzít dvacet aktuálních telefonů jedné třídy, srovnat je do tabulky a přidat výsledky technických testů, než provádět rešerši produktového portfolia za posledních deset let a srovnat přístup značek k zákazníkovi a jeho uživatelský dojem. Jediná oblast, kde ještě člověk jakš takš získá informace a existují opravdoví recenzenti, je automobilismus.

Podivejte se kolik bylo starosti s prechodem na DVBT a nutnosti koupit krabicku. Toto ted zazijeme na webu.

9. 11. 2020, 12:53 editováno autorem komentáře

zde si ale nekoupim mini-krabicku, abych ji vrazil do usb a zaclo mi to opet vse fungovat, stejne jako tomu je u DVBT se setopboxem... takze co pisete neni stejny pripad

Oficiální podpora Androidu 7.1 skončila před 13ti měsíci (2019) release 39, výrobci sami mohou snadno poslat jen aktualizační balíček, který bude obsahovat jen certifikáty, kdy budou chtít.

Teoreticky tedy ani Android 7.1 nemusí mít problém - to záleží opravdu na výrobci zařízení, jestli chce zarmoutit svoje zákazníky.
Androidu nekončí podpora tím, že vyjde novější verze.

Všchni se tu motáte kolem webu. Ale toto není jen problém webu. Kolik ldí používá LE cert i na jiné protkoly, jako SMTP, IMAPS, LDAP...

Z Androidu?

Samozrejme, osobni/pracovni IMAP/SMTP.

Google ucet je v mem android telefonu jenom na "hrani" (google play) - k instalaci aplikaci, a jeste se tam synchronizuji kontakty, coz je teda nutny zlo, ktere holt musim akceptovat., Neni zcela snadna cesta mit i tyto data ve vlastni rezii, ale email nastesti jde nastavit nevazany ke Googlu. Nejsem IT ovce, co zije cloudem.

Kontakty môžu byť uložené aj čisto len na telefóne, prípadne cez CardDAV na vlastnom serveri. Rozumiem, každé z týchto riešení má svoje úskalia, ale aj tak sa IMHO nedá hovoriť o nutnom zle.

Ano, samozřejmě že takoví lidé budou. Ale kombinace starého Androidu a e-mailu používaného přes IMAPS/SMTPS s univerzálním klientem podle mne bude vzácná.

Když nejste IT ovce, nebude pro vás problém si nastavit certifikáty.

Kontakty nie je najmenší problém mať mimo Googlu.

Svojho času som používal Xperiu, kde som nemal ani nastavený Google account. Maily/kontakty/ka­lendár išli výlučne na Exchange, používal som default aplikácie.

Nemôžem hovoriť za všetkých, ale v mojom okolí SMTPS a IMAPS používa dosť ľudí aj na Androide. LDAPS nikto.

Hádám, že Seznam.cz přejde na komerční certifikáty. Taky jedou na LE. Uvažuju, že u jedné své služby taky přejdu na nějaký komerční certifikát. Nechci ztratit žádného návštěvníka se starým Androidem. Sám mám mobil s prehistorickou verzí 4.4.2.

Za chvíli si budeme telefony jen pronajímat a bude vyřešeno. De facto se to děje už teď... Samozřejmě se mi to nelíbí a tak mám dumb-phone a je vystaráno. Jako univerzální zařízení ve vlastní správě mám pc/notebook a o tuto možnost doufám nepřijdu. I když... spravovat si pc sám je nepochybně známka teroristických sklonů.

Zlatej Apple. 5S: Uvedení 10. září 2013, začátek prodeje 20. září 2013. Porizovaci cena pred 2 roky asi 2500,- Bude slouzit dele nez ty android co byly pred 2 rokama za desitku.

(kecam nebude, az bude dceri 13let tak dostane SE aby nemusela nosit platebni kartu)

Nikdy nevieš. Ja mám 4S v šuflíku už 4 roky (od 2016) a to je iba o 2 roky starší telefón.

A je na tom 4S neco co by nefungovalo? Kdyz pominu, ze to proste uz nema vykon treba na Waze a hry.
Ten mobil prisel (4s) prisel do distribuce v 2011 a jeste v 2019 dostal update iOS.
A ted to porovnej s Galaxy S4 mini, ktery vylezl 2013 (a nebyl to nejlevnejsi telefon z lowendu) a skoncil tak jak vysel - na Androidu 4.4 (tusim, ze jsem to dokazal jeste znasilnit nejakym Jelly Beamem postavenym na Androidu 6, ale pak odesel muj druhy kus taky kvuli nekvalite zpracovani tlacitek a presel jsem na iPhone a zlate rozhodnuti)

Nutno ovsem dodat, ze za tu dobu se preci jen updatovani Androidu obecne a u Samsungu specialne ponekud posunulo. Ocenil bych vic, ale tohle proste neni v dnesnim kontextu uplne relevantni.

Nemas pravdu S4 mini bol oficialne vydany s 4.2.2 a skoncil s 4.4.2.

Druha a podstatnejsia vec je, ze na tu dobu dostaval dlho updaty. Mal ho brat a v tej dobe som cumel, ze mu este stale na to chodili updaty.

Mobil stejně dýl jak 4 roky nevydrží, zvlášť když nemáte CAT nebo něco tak odolného. Každej druhej má do roka rozflákanej displej, protože jsou to všechno skleněný šunty a Android jako takovej je po takový době taky nepoužitelnej.

Já jsem nikdy žádný telefon nerozbil ani nevyhodil. Všechny jsem daroval nebo prodal dál. Dva předchozí ještě slouží.

Ja si dovolim taky generalizovat.
Nemas pravdu telefon vydrzi opravdu hodne dlouho.

Já taky vždy přemýšlel, co lidi s těmi telefony dělají, že je mají tak poničenē. Vím teda o jednom případu, kdy kamarád spadl z kola na horách tak to schytal i iPhone, ale jinak vždy mě někdo okolí vše drželo několik let. A to třeba děti se k telefonům chovají občas dost nepěkně.

No tak tady je můj zkrácený přehled:

1x přejetý autobusem pří vystupování vypadnul z kapsy a spadl přímo pod kola,
3x rozkousán psem (vždy jiný pes)
2x se prostě nafoukla baterie a prasknul
1x špatná kapsa a sednutí
1x kapsa ale při zavírání dveří od auta, byl tam výčnělek a trefil přímo telefon v pravé kapse.
3x utopen (první mi propadnul mezi podláškama na táboře pod stan do mokré trávy, podruhé jsem se šel vykoupat do přehrady a zapoměl ho vyndat, a třetí prostě jen hodně pršelo)
4x odcizen
1x čokoláda (velikonoce dítě mi dalo do kapsy čokoládovou figurku)
1x pád na kole

Jo, když mi bylo -náct, tak jsem také třikrát ztratil doklady i s peněženkou a po čtvrtý mi je ukradli z kabátu pověšenym na věšáku. Pak jsem si oddělil doklady a peněženku a bylo po problémech (málokdy potřebuju ukazovat řidičák/občan­ku/tramvajenku A platit) - začal jsem doklady nosit v kapse, ze které nemohly vypadnout a peněženku jsem měl menší, takže se lépe vešla do kapsy.
Telefon zásadně nosím v náprsní kapse, (od dob co mám chytrý, tak ve flip pouzdře). Jednak je rychle po ruce, a druhak vypadne jen když se předkloním. Ještě nikdy se mi nerozbil. V oblasti pasu jsem nosíval zavěšený foťák. Od doby co mi ho přiskřípla sklápěcí sedačka v autobuse MHD už to také nedělám.

Pardon, ale takhle dlouhý seznam rozbití telefonů nevypadá jako adekvání zacházení s věcí, která obsahuje velkou část elektronické identity uživatele.

Můj Sony Xperia Active Mini z roku 2011 stále funguje. Výdrž akumulátoru 24-48h, displej mírně ošoupaný. Android 4.0.4. Vyměněn 2x mikrofon (cca 500 za každou opravu). Vyměněn zadní kryt (v dodávce s novým telefonem byl jeden náhradní). 1x přeflashován firmware (telefon nestartoval). Telefon je malý (displej 3"), kolem obvodu je kovový rámeček. Takže všechny pády vydržel. Dnešní telefony s displeji velikosti okna nemohou zákonitě pád přežít. Telefon má ochranu IP 67. Kdysi stál asi 7500, dnes už srovnatelná náhrada není, bohužel.

co na to root.cz? zakoupí komerční certifikát, nebo odřízne uživatele na nepodporovaných zařízeních

Čtenáři Roota budou tento problém jistě schopni vyřešit.

Jako nejlepší řešení se teď pro administrátory jeví využít možnosti zachování původního řetězu s původním kořenem. A v září bude sranda :-)

To není nejlepší řešení. Vždycky záleží na konkrétní službě, na jejich klientech a na tom, jestli bude vadit jich část odstřihnout. Univerzální řešení není. Někdo to může nechat být a prostě ty klienty odříznout, někdo si to nemůže dovolit a pořídí si certifikát od jiné autority.

Jako řešení pro shared hosting se mi to jeví nejlepší. Nikoho neodstřihnout co nejdéle to jen půjde. Samosebou některé větší projekty můžou přejít na SSL od jiné autority - pokud jej již nevyužívají.