• IT-Karriere:
  • Services:

TLS: Let's Encrypt rettet alte Androids vor Zertifikatsproblemen

Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.

Artikel veröffentlicht am ,
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität.
Let's Encrypt hilft alten Android-Geräten bei der Kompatibilität. (Bild: Pixabay)

Die kostenlose Zertifizierungsstelle Let's Encrypt wollte eigentlich auf Zwischenzertifikate wechseln, die von einem eigenen Root-Zertifikat signiert sind. Bisher setzte Let's Encrypt auf ein sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust. Künftig soll darüber hinaus auch das neue eigene Root-Zertifikat mit einem Cross-Signing ausgestattet werden, wie das Team von Let's Encrypt nun mitteilt. Das soll Millionen alte Android-Geräte vor Kompatibilitätsproblemen bewahren.

Stellenmarkt
  1. Haufe Group, Freiburg im Breisgau
  2. Landeshauptstadt München, München

Die Beteiligten hatten vor wenigen Monaten davor gewarnt, dass der eigentlich geplante Wechsel Probleme für rund ein Drittel aller noch genutzten Android-Telefone bringen könnte. Denn es gibt immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauen. Das wurde bereits 2016 erstmals eingeführt. Betroffen sind laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter.

Standardmäßig führt dies dazu, dass Geräte nach dem bisher geplanten Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten aufbauen, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Dabei handelt es sich immerhin um rund 220 Millionen Domains.

Die nun geplante erneute Cross-Signatur soll für drei Jahre gültig sein und damit über die eigentliche Gültigkeit des Root-Zertifikats von Identrust hinaus. Das mag ungewöhnlich erscheinen und ist so eigentlich im TLS-System nicht vorgesehen. Android prüft aber absichtlich nicht das Ablaufdatum von Zertifikaten.

Das nutzt nun Let's Encrypt aus, um weiter für eine große Kompatibilität sorgen zu können. Anders sei dies nicht möglich. Nach Ablauf der drei Jahre Anfang 2024 soll der eigentlich für 2021 gefasste Plan umgesetzt werden, nur noch auf das eigene Root-Zertifikat zu setzen. Zum Erstellen der Zertifikate für eigene Webseiten soll dann aber auch weiterhin gewählt werden können, ob diese das alte und eigentliche abgelaufene Root-Zertifikat als Ursprung der Zertifikatskette nutzen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Monster Hunter World: Iceborne Digital Deluxe für 29,99€, Phoenix Wright: Ace Attorney...
  2. 8,49€
  3. 15,99€

Iruwen 22. Dez 2020 / Themenstart

Die Google Play Services haben so weitreichende Rechte und sind so tief im System...

Kommentieren


Folgen Sie uns
       


VW ID.3 Probe gefahren

Wir sind einen Tag lang mit dem ID.3 in und um Berlin herum gefahren.

VW ID.3 Probe gefahren Video aufrufen
    •  /