Je suis plutôt convaincu que les éditeurs de sites et que LE n'ont rien à se reprocher dans l'histoire : si ça n'avait pas été LE c'en aurait été un autre qui aurait eu le problème.
Le soucis c'est que les fabricants Android en ont rien à faire d'updater correctement leurs devices (et que c'est empêtré dans la chaîne OEM->Opérateur->Device pour certains), que Google a laissé faire ça pendant des années sans réellement en avoir quelque chose à faire. Les éditeurs de site n'y peuvent rien.
Dans les faits, même si pas trop à la porté de M/Mme Michu mais faisable, un certificat sur android ça s'installe en trois clics.
C'est quand même scandaleux de laisser autant de devices dans la nature sans aucune mise à jour de sécurité, c'est 100% de la faute des fabricants qui ont réussi à faire croire à leurs utilisateurs que "deux ans de mises à jour ça suffit amplement". Ton device devient une faille de sécurité ambulante et est amputé des derniers certificats, super.
Si on regarde la liste des certificats racines trustés par macOS 11, on y voit une pelletée de certificats qui expirent dans les mois à venir. Les smartphones Android auront le même problème, sauf si les autorités de certifications ciblées ont roll-out un nouveau certificat racine intégré dans ces devices avant 2016 (après vérif, ça a l'air d'être le cas : argument un peu bancal donc, en effet).
EDIT : La seule autorité de certif proposant gratuitement des wildcards, ça a quand même l'air d'être LE.
Protocoles réseaux sécurisés (https)