Let’s Encrypt mit neuem Stammzertifikat, Probleme mit Android

Als Anbieter von SSL-Zertifikaten benötigt man ein sog. Stammzertifikat. Mit diesem werden die ausgestellten Zertifikate signiert. Ein solches Stammzertifikat ist Betriebsystem- und Browserherstellern bekannt und diese haben jeweils eine Liste von gültigen Stammzertifikaten in Ihrer Software integriert und als vertrauenswürdig eingestuft.

Mit dem Start von Let’s Encrypt vor 5 Jahren setzten die Macher damals auf ein sog. Cross-Sign-Zertifikat von IdenTrust. Also kein Eigenes, da dieses ja noch nicht vertrauenswürdig war und es für gewöhnlich Jahre dauert, bis man in den elitären Kreis einer vertrauenswürdigen Zertifizierungsstelle aufgenommen wird. Bis jeder Anwender auch seine jeweilige Software aktualisiert (z.B. ein neues Betriebssystem) und damit das Stammzertifikat erhält, vergeht weitere Zeit.

Das bislang genutzte “DST Root X3” Zertifikat von IdenTrust ist auf vielen Systemen wie Windows, MacOS, Android, iOS sowie einer Vielzahl von Linux-Distributionen und Browsern verfügbar.

Änderung ab Januar 2021

Zwischenzeitlich besitzt Let’s Encrypt auch ein eigenes Stammzertifikat (das “ISRG Root X1”) und dies ist in den wichtigsten Softwareplattformen auch als vertrauenswürdig eingestuft und integriert. Das bislang genutzte Cross-Sign-Stammzertifikat läuft im September 2021 aus und muss ersetzt werden. Let’s Encrypt wird jedoch künftig ausschließlich ihr Eigenes einsetzen.

Vorausichtlich ab dem 11.01.2021 wird über die aktuelle API von Let’s Encrypt standardmäßig jedes neu ausgestellte oder verlängerte Zertifikat bereits mit diesem Stammzertifikat signiert.

Auswirkung auf alte Browser

Smartphones die mit einer Android-Version vor 7.1.1 (erschienen in 2016) laufen, haben das “ISRG Root X1” nicht in der Liste vertrauenswürdiger Stammzertifikate. Nutzer werden beim Aufruf von Webseiten ab Januar dann vermehrt Zertifikatsfehler erhalten und letztendlich sogar Webseiten nicht mehr aufrufen können.

Let’s Encrypt empfiehlt bei älteren Geräten den Einsatz von Firefox (Mobile) als Browser, dieser bringt eine eigene Liste an vertrauenswürdigen Zertifikaten mit.

Details zur Ankündigung finden sich auf den Seiten von Let’s Encrypt: https://letsencrypt.org/2020/11/06/own-two-feet.html

Was ist zu tun?

Ab dem 11.01.2021 wird jedes neu ausgestellte oder verlängerte SSL-Zertifikat mit einem neuen Stammzertifikat signiert. Auch die Zertifikate bei uns.

Wir empfehlen, Nutzer eurer Webseite, Kunden etc. ebenfalls darüber zu informieren, dass es ab Mitte Januar mit älteren Android-Smartphones zu Problemen kommen kann. Bekannte IT-Newsseiten haben darüber ebenfalls bereits berichtet bzw. werden in den nächsten Wochen noch folgen und können als Beleg-Quellen dienen:

– Artikel bei: Golem
– Artikel bei: t3nt
– Artikel bei: Winfuture
– Artikel bei: Forbes (englisch)

Alternativ kann auch ein kostenpflichtiges Zertifikat eines anderen etablierten Anbieters genutzt werden. Übergangsweise oder dauerhaft. Wir bieten auf Anfrage weitere zahlreiche Typen (Domainvalidiert, Extended Validation, Wildcard) von bekannten Anbietern wie Sectigo, Comodo, Entrust, GeoTrust, RapidSSL, THAWTE sowie Verisign an.