TLS: Let's Encrypt rettet alte Androids vor Zertifikatsproblemen
Der Zertifikatswechsel bei Let's Encrypt hätte Problem mit Millionen Seiten auf alten Android-Geräten bewirkt. Das Team ändert seinen Plan.

Die kostenlose Zertifizierungsstelle Let's Encrypt wollte eigentlich auf Zwischenzertifikate wechseln, die von einem eigenen Root-Zertifikat signiert sind. Bisher setzte Let's Encrypt auf ein sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust. Künftig soll darüber hinaus auch das neue eigene Root-Zertifikat mit einem Cross-Signing ausgestattet werden, wie das Team von Let's Encrypt nun mitteilt. Das soll Millionen alte Android-Geräte vor Kompatibilitätsproblemen bewahren.
Die Beteiligten hatten vor wenigen Monaten davor gewarnt, dass der eigentlich geplante Wechsel Probleme für rund ein Drittel aller noch genutzten Android-Telefone bringen könnte. Denn es gibt immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauen. Das wurde bereits 2016 erstmals eingeführt. Betroffen sind laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter.
Standardmäßig führt dies dazu, dass Geräte nach dem bisher geplanten Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten aufbauen, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Dabei handelt es sich immerhin um rund 220 Millionen Domains.
Die nun geplante erneute Cross-Signatur soll für drei Jahre gültig sein und damit über die eigentliche Gültigkeit des Root-Zertifikats von Identrust hinaus. Das mag ungewöhnlich erscheinen und ist so eigentlich im TLS-System nicht vorgesehen. Android prüft aber absichtlich nicht das Ablaufdatum von Zertifikaten.
Das nutzt nun Let's Encrypt aus, um weiter für eine große Kompatibilität sorgen zu können. Anders sei dies nicht möglich. Nach Ablauf der drei Jahre Anfang 2024 soll der eigentlich für 2021 gefasste Plan umgesetzt werden, nur noch auf das eigene Root-Zertifikat zu setzen. Zum Erstellen der Zertifikate für eigene Webseiten soll dann aber auch weiterhin gewählt werden können, ob diese das alte und eigentliche abgelaufene Root-Zertifikat als Ursprung der Zertifikatskette nutzen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Die Google Play Services haben so weitreichende Rechte und sind so tief im System...