TLS: Let's Encrypt rettet alte Androids vor Zertifikatsproblemen

Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.

Artikel veröffentlicht am ,
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität.
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität. (Bild: Pixabay)

Die kostenlose Zertifizierungsstelle Let's Encrypt wollte eigentlich auf Zwischenzertifikate wechseln, die von einem eigenen Root-Zertifikat signiert sind. Bisher setzte Let's Encrypt auf ein sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust. Künftig soll darüber hinaus auch das neue eigene Root-Zertifikat mit einem Cross-Signing ausgestattet werden, wie das Team von Let's Encrypt nun mitteilt. Das soll Millionen alte Android-Geräte vor Kompatibilitätsproblemen bewahren.

Stellenmarkt
  1. Dev-Ops Engineer Website (f/m/d)
    Beiersdorf AG, Hamburg
  2. Senior IT-Projektverantwortung (m/w/d)
    HiScout GmbH, Berlin
Detailsuche

Die Beteiligten hatten vor wenigen Monaten davor gewarnt, dass der eigentlich geplante Wechsel Probleme für rund ein Drittel aller noch genutzten Android-Telefone bringen könnte. Denn es gibt immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauen. Das wurde bereits 2016 erstmals eingeführt. Betroffen sind laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter.

Standardmäßig führt dies dazu, dass Geräte nach dem bisher geplanten Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten aufbauen, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Dabei handelt es sich immerhin um rund 220 Millionen Domains.

Die nun geplante erneute Cross-Signatur soll für drei Jahre gültig sein und damit über die eigentliche Gültigkeit des Root-Zertifikats von Identrust hinaus. Das mag ungewöhnlich erscheinen und ist so eigentlich im TLS-System nicht vorgesehen. Android prüft aber absichtlich nicht das Ablaufdatum von Zertifikaten.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
  2. OpenShift Installation & Administration
    9.-11. August 2021, online
Weitere IT-Trainings

Das nutzt nun Let's Encrypt aus, um weiter für eine große Kompatibilität sorgen zu können. Anders sei dies nicht möglich. Nach Ablauf der drei Jahre Anfang 2024 soll der eigentlich für 2021 gefasste Plan umgesetzt werden, nur noch auf das eigene Root-Zertifikat zu setzen. Zum Erstellen der Zertifikate für eigene Webseiten soll dann aber auch weiterhin gewählt werden können, ob diese das alte und eigentliche abgelaufene Root-Zertifikat als Ursprung der Zertifikatskette nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertig die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  2. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

  3. Microsoft: Windows-10-Nutzer von neuer Wetter-App genervt
    Microsoft
    Windows-10-Nutzer von neuer Wetter-App genervt

    Ungenaue Vorhersagen und matschige Schrift: Die Wetter-App in Windows 10 stört einige. Gleiches gilt beim News-Feed. Beides ist versteckbar.

Iruwen 22. Dez 2020

Die Google Play Services haben so weitreichende Rechte und sind so tief im System...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /