Kundenlogin

Let’s-Encrypt: Wurzelzertifikat sorgt 2021 für Probleme mit Android vor 7.1.1

Die Zertifizierungsstelle Let’s Encrypt steht im Jahr 2021 durch ein ablaufendes Wurzelzertifikat (Root-Zertifikat) vor Kompatibilitätsproblemen mit Android Versionen vor 7.1.1..

Was ist ein Wurzelzertifikat (Root-Zertifikat)?

Ein Wurzelzertifikat ist ein unsigniertes oder selbstsigniertes Zertifikat einer Zertifizierungsstelle, welches die Gültigkeit von untergeordneten (SSL-)Zertifikaten validiert.

Etablierung eines neuen Wurzelzertifikats dauert lange

Bis Betriebssysteme und Browser neue Wurzelzertifikate akzeptieren und als gültig markieren, kann es Jahre dauern. Bis veraltete Geräte auf eine neue Version geupdatet werden, welche eine solche Änderung enthalten, kann es sogar noch länger dauern.

Wenn eine neue Zertifizierungsstelle also an den Start geht, benötigt sie zur Kompatibilität ein bereits bestehendes und von Betriebssystemen und Browsern akzeptiertes Wurzelzertifikat. Beim Start von Let’s Encrypt war dies genau so der Fall. Daher hat die Zertifizierungsstelle von Identrust (einer anderen Zertifizierungsstelle) ein Wurzelzertifikat (DST Root X3) zur so genannten Quersignierung (cross signature) erhalten.

 

Umstellung auf eigenes Wurzelzertifikat von Let’s Encrypt

Let’s Encrypt existiert nunmehr seit mehr als 5 Jahren und hat mittlerweile ein eigenes Wurzelzertifikat (ISRG Root X1) ausgestellt, welches seit 2016 zur Validierung der Gültigkeit bei Betriebssystemen und Browsern eingereicht wurde.

Dies bedeutet, dass Geräte, welche seit 2016 nicht mehr geupdatet wurden, das ISRG Root X1 Wurzelzertifikat nie erhalten haben und daher alleinig das DST Root X3 Wurzelzertifikat zur Gültigkeitsvalidierung nutzen. Dies betrifft vor allem Android Geräte mit einer Version vor 7.1.1..

Und das sind nicht wenige: Mit ungefähr einem Drittel aller Android Geräte (2,5 Milliarden) macht das ca. 850 Millionen betroffene Geräte.

Dabei gibt es zwei Probleme:

Erstens: Ab dem 11.01.2021 stellt Let’s Encrypt standardmäßig alle neuen SSL-Zertifikate mit deren eigenen Wurzelzertifikat ISRG Root X1 aus.
Zweitens: Das Quersignierungs Wurzelzertifikat DST Root X3 von Identrust läuft am 21.09.2021 ab.

Nutzer der genannten Geräte können also ab dem 11.01.2021 keine Webseiten mit dem neuen Wurzelzertifikat verschlüsselt aufrufen. Ab dem 21.09.2021 sind allgemein keine verschlüsselten Webseiten mehr aufrufbar, sofern sie ihre Geräte bis dahin nicht upgraden.

Let’s Encrypt informiert jedoch, dass die Geräte mit veralteten Android Versionen nur bis zu 5 Prozent des Gesamttraffics ausmachen.

 

Wie können sich Nutzer von veralteten Geräten also am besten schützen?

Let’s Encrypt empfiehlt, zum Surfen im Internet den Browser Firefox Mobile zu installieren, welcher ab Android 5.0 verfügbar ist. Firefox nutzt nämlich eine eigene Liste von vertrauenswürdigen Wurzelzertifikaten anstatt sich an den vertrauenswürdigen Wurzelzertifikaten des Betriebssystems zu orientieren.

Jedoch bietet dies „nur“ einen Schutz für das Surfen im Internet – Apps, welche die im Betriebssystem gespeicherten Wurzelzertifikate nutzen, sind hiervon nicht betroffen.

Das von uns genutzte Hosting Control Panel Plesk ist so eingestellt, dass es bis zum 21.09.2020 Let’s Encrypt Zertifikate mit dem DST Root X3 Wurzelzertifikat ausstellt.

Weitere Informationen finden Sie in dem Beitrag von Let’s Encrypt.

 

Die Nutzung der kostenfreien Let’s Encrypt Zertifikate ist in allen unseren Webhosting, Reseller und Flex Server Produkten mit Plesk inkludiert.

Sofern Sie noch einen Tarif mit dem Server-Interface nutzen, empfehlen wir Ihnen daher, auf unsere neuen Tarife umzusteigen.

Damit Sie dem Problem gänzlich aus dem Weg gehen können und Ihre Webseite auf jeden Fall für Nutzer mit veralteten Geräten verfügbar ist, empfehlen wir die Nutzung eines kostenpflichtigen Zertifikats.