Let's Encrypt: Alte Android-Geräte bekommen Probleme mit Millionen Seiten

Im März 2021 wird die kostenlose Zertifizierungsstelle Let's Encrypt auf Zwischenzertifikate wechseln, die von einem eigenen Root-Zertifikat signiert sind. Bisher setze Let's Encrypt auf ein sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust. Dieser anstehende Wechsel könnte aber Probleme für rund ein Drittel aller noch genutzten Android-Telefone bringen, wie das Team nun ankündigt.

Denn es gibt immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauen, das bereits 2016 erstmals eingeführt worden ist. Betroffen sind laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter. Standardmäßig führt dies dazu, dass Geräte nach dem Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -Diensten aufbauen, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Dabei handelt es sich immerhin um rund 220 Millionen Domains.

Der Chef-Entwickler der Zertifizierungsstelle Jacob Hoffman-Andrews sieht den Grund für die kommenden Probleme vor allem in dem Android-Ökosystem, das seit längerem daran scheitert, langfristige Betriebssystem-Updates für verkaufte Geräte bereitzustellen. So wird etwa die 7er-Reihe von Android durch Google nicht mehr offiziell unterstützt. Viele Hardware-Hersteller bieten darüber hinaus auch kaum Versionsupdates des Betriebssystems für ihre Geräte an.

In Bezug auf den Zertifikatswechsel bei Let's Encrypt wird dies zum Problem, da die Liste der vertrauenswürdigen Zertifikate ein fester Bestandteil des Betriebssystems ist, auf den andere Apps zugreifen. Diese Liste wird bei den älteren Geräten aber nicht mehr aktualisiert, was dann zu dem Fehler führt.

Eigner Root-Store als Lösung

Als Workaround empfiehlt Let's Encrypt die Nutzung des Firefox-Browsers für Android, da dieser einen eigenen Zertifikatsspeicher nutzt, statt den des Betriebssystems. Der enthält bereits das Root-Zertifikat der freien Zertifizierungsstelle, weshalb der beschriebene Fehler hier nicht auftreten kann.

Auch das Team von Googles Chrome-Browser plant etwas Ähnliches. Der Hersteller könnte dies zudem auch für das Android-Webview-Paket umsetzen und damit den Fehler für eine Vielzahl von Apps ebenfalls beheben. Das Team von Let's Encrypt hofft derweil, dass sich die Anzahl der tatsächlichen Probleme in Grenzen halten wird, da die genannte große Anzahl von alten und noch aktiven Android-Geräten lediglich für 1 bis 5 Prozent Traffic verantwortlich sei.