TLS: Let's Encrypt rettet alte Androids vor Zertifikatsproblemen

Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.

Artikel veröffentlicht am ,
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität.
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität. (Bild: Pixabay)

Die kostenlose Zertifizierungsstelle Let's Encrypt wollte eigentlich auf Zwischenzertifikate wechseln, die von einem eigenen Root-Zertifikat signiert sind. Bisher setzte Let's Encrypt auf ein sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust. Künftig soll darüber hinaus auch das neue eigene Root-Zertifikat mit einem Cross-Signing ausgestattet werden, wie das Team von Let's Encrypt nun mitteilt. Das soll Millionen alte Android-Geräte vor Kompatibilitätsproblemen bewahren.

Die Beteiligten hatten vor wenigen Monaten davor gewarnt, dass der eigentlich geplante Wechsel Probleme für rund ein Drittel aller noch genutzten Android-Telefone bringen könnte. Denn es gibt immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauen. Das wurde bereits 2016 erstmals eingeführt. Betroffen sind laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter.

Standardmäßig führt dies dazu, dass Geräte nach dem bisher geplanten Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten aufbauen, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Dabei handelt es sich immerhin um rund 220 Millionen Domains.

Die nun geplante erneute Cross-Signatur soll für drei Jahre gültig sein und damit über die eigentliche Gültigkeit des Root-Zertifikats von Identrust hinaus. Das mag ungewöhnlich erscheinen und ist so eigentlich im TLS-System nicht vorgesehen. Android prüft aber absichtlich nicht das Ablaufdatum von Zertifikaten.

Das nutzt nun Let's Encrypt aus, um weiter für eine große Kompatibilität sorgen zu können. Anders sei dies nicht möglich. Nach Ablauf der drei Jahre Anfang 2024 soll der eigentlich für 2021 gefasste Plan umgesetzt werden, nur noch auf das eigene Root-Zertifikat zu setzen. Zum Erstellen der Zertifikate für eigene Webseiten soll dann aber auch weiterhin gewählt werden können, ob diese das alte und eigentliche abgelaufene Root-Zertifikat als Ursprung der Zertifikatskette nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Discounter
Netto bringt Balkonkraftwerk mit 820 Watt Peak

Netto hat ein Balkonkraftwerk mit 820 Watt (Peak) im Angebot, das direkt an eine Steckdose angeschlossen werden kann und die Stromrechnung reduzieren soll.

Discounter: Netto bringt Balkonkraftwerk mit 820 Watt Peak
Artikel
  1. OpenAI: ChatGPT-Firma lässt Programmierer die KI trainieren
    OpenAI
    ChatGPT-Firma lässt Programmierer die KI trainieren

    OpenAI, das Unternehmen hinter ChatGPT, hat Hunderte von Freiberuflern aus Schwellenländern zum Trainieren von Programmierfähigkeiten der KI eingesetzt.

  2. Arbeit im Support: Von der Kunst, Menschen und Technik zu jonglieren
    Arbeit im Support
    Von der Kunst, Menschen und Technik zu jonglieren

    Geht nicht, gibt's oft - und dann klingelt das Telefon beim Support. Das Spektrum der Probleme ist gewaltig und die Ansprüche an einen guten Support auch. Ein Leitfaden für (angehende) Supportmitarbeiter.
    Ein Ratgebertext von Lutz Olav Däumling

  3. Raumfahrtkonzept: Schnellere Weltraumreisen durch Pellet-Strahlenantrieb
    Raumfahrtkonzept
    Schnellere Weltraumreisen durch Pellet-Strahlenantrieb

    Die Nasa fördert innovative Konzepte für die Raumfahrt. Darunter eines, dass Weltraumreisen viel schneller machen soll.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 980 PRO 1TB Heatsink 111€ • Patriot Viper VPN100 2TB 123,89€ • Corsair Ironclaw RGB Wireless 54€ • Alternate: Weekend Sale • WSV bei MediaMarkt • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM-/Graka-Preisrutsch [Werbung]
    •  /