23
— minSdkVersion (@minSdkVersion) December 9, 2019
minSdkVersionをつぶやくだけの謎なTwitterアカウントが23(Android 6)とツイートしていたのがまだ記憶に新しい。
世の中のminSdkが5.0以上がもう大多数になってきたかなと思っているが、4.4ユーザが数%まだいるからという理由でまだサポートを強いられている現場だってまだ存在している。
まぁ、5.0以上でしか使えないAPIやWebView周りの挙動があったのだとしても切り分けして
ソースコードを無駄に条件分岐でややこしくしたり、最悪4.4以下ユーザはごめんねすればいい話なのかと呑気に思っていた。
しかしとあるニュースを見てちょっと考え直した。
RetrofitライブラリがAndroid 5+の対応になった
この変更についての詳しい情報は以下
https://cashapp.github.io/2019-02-05/okhttp-3-13-requires-android-5
要するにAndroid4.4はTLS1.2を標準サポートしていない。
そして下記の箇所に一番驚いた
On October 15 our colleagues at Google, Mozilla, Microsoft, and Apple announced that their browsers will require TLSv1.2 or better starting in early 2020.
つまり主要ブラウザはTLS1.0,TLS1.1のサポートを終了する。
即ち、世の中のスタンダードはTLS1.2に移行し、TLS1.1はもうセキュアじゃないという判断だ。
If you really need TLSv1.2 on Android 4.x, that’s possible! Ankush Gupta has written a thorough guide that explains how to get Google Play Services to do it. Even if you follow this process you should still use OkHttp 3.12.x with Android 4.x devices.
Android 4.xでもTLS1.2を行う方法はあるとのこと。
しかしすでに大多数のアプリがAndroid 4.4のサポートをすでに終了している。
とある1アプリだけAndroid 4.4のサポートを続けられたとしても、それ以外のサポートの終了したアプリでは
TLS1.1の通信を行う。これでは意味がない。
なのでAndroid 4.4のサポートを終了し、よりセキュアな通信ができるAndroidへ移行を促すべきなのだ。
参考
https://github.com/AndroidDagashi/AndroidDagashi/issues/1168