TLS-Zertifikate: Altes Let's-Encrypt-Root läuft ab

Bei Fehlkonfigurationen und alten Geräten können Zertifikatsfehler mit Let's Encrypt auftreten.

Artikel veröffentlicht am ,
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern.
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern. (Bild: Franz van Duns/Wikimedia Commons/CC-BY-SA 4.0)

Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.

Stellenmarkt
  1. Techniker (m/w/d) im Field Service Netzbetrieb
    willy.tel GmbH, Hamburg
  2. Software Architect (w/m/d)
    Analytik Jena GmbH, Jena
Detailsuche

Inzwischen besitzt Let's Encrypt auch ein eigenes Root-Zertifikat, das in allen modernen Browsern unterstützt wird. Ursprünglich war daher der Plan, mit dem Ablaufen des Identrust-Roots auf ein Zwischenzertifikat umzusteigen, das vom eigenen Root-Zertifikat ("ISRG Root X1") signiert ist.

Doch während aktuelle Software damit kein Problem hätte, wären viele alte Geräte künftig ausgeschlossen gewesen. Dabei geht es vor allem um alte Android-Versionen. Daher hat Let's Encrypt sich entschlossen, eine Lösung hierfür anzubieten.

Cross-Signatur-Chain ermöglicht Kompatibilität mit alten Androids

Dabei kann neben dem neuen Zwischenzertifikat auch das Root-Zertifikat von Let's Encrypt mit einer Cross-Signatur des alten Identrust-Roots ausgeliefert werden. Diese Kombination führt überraschenderweise dazu, dass es auch auf alten Geräten funktioniert. Der Grund dafür ist, dass in Android die Ablaufdaten der Root-Zertifikate nicht geprüft werden. Somit ist eine solche Zertifikatskette weiterhin gültig.

Golem Akademie
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    8.–12. November 2021, Virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
Weitere IT-Trainings

Serverbetreiber können sich also entscheiden, ob sie nur das neue Zwischenzertifikat ausliefern oder die Kombination des neuen Zwischenzertifikats und des Cross-Zertifikats. Letzteres ist mit mehr alten Geräten kompatibel, es führt aber zu einem etwas größeren TLS-Handshake.

Man sollte allerdings vermeiden, weiterhin das alte, abgelaufene Zwischenzertifikat auszuliefern. Das führt dazu, dass eine Verbindung mit vielen Clients nicht mehr möglich ist. In Webbrowsern ist das in der Regel kein Problem, da diese auf verschiedene Weisen versuchen, ein Zertifikat anderweitig zu prüfen. Aber einfachere Clients haben in der Regel keine solche Funktionalität.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wer in den nächsten Tagen auf überraschende Zertifikatsfehler stößt, sollte dies im Blick haben. Ob das Zwischenzertifikat korrekt installiert ist, lässt sich bei Webservern beispielsweise mit dem SSL-Labs-Test der Firma Qualys prüfen. Im Feld "Chain Issues" wird bei einem veralteten Zwischenzertifikat ein Fehler angezeigt. Alternativ zeigt auch ein Aufruf mit dem Kommandozeilentool "curl" einen Fehler bei einem abgelaufenen Zwischenzertifikat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 01. Okt 2021 / Themenstart

Wenn bei Verwendung von acme.sh Fehler auftreten: acme.sh --issue --preferred-chain...

AynRandHatteRecht 01. Okt 2021 / Themenstart

Es war am 2021-09-14 mit ca-certificates-2021.2.50-72.el7_9.noarch.rpm

felix.schwarz 01. Okt 2021 / Themenstart

Das ist ein Bug im NextCloud Windows-Client (auch in der aktuellsten Version 3.3.5...

bgmenot 30. Sep 2021 / Themenstart

einfach die alten Root CAs löschen https://www.borncity.com/blog/2021/09/30/30-sept-2021...

RipClaw 30. Sep 2021 / Themenstart

Es betrifft generell alle Distributionen und Systeme die Dovecot in der Version 2.3...

Kommentieren



Aktuell auf der Startseite von Golem.de
Rockstar Games
Neue GTA Trilogy läuft auch auf älterer PC-Hardware

Die Grafik der überarbeiteten GTA Trilogy sieht im Video viel besser aus als im Original. Trotzdem muss es keine ganz neue Hardware sein.

Rockstar Games: Neue GTA Trilogy läuft auch auf älterer PC-Hardware
Artikel
  1. Staatstrojaner: Journalist der New York Times mit Pegasus gehackt
    Staatstrojaner
    Journalist der New York Times mit Pegasus gehackt

    Nach mehreren Versuchen wurde ein Journalist der New York Times mit dem NSO-Trojaner Pegasus infiziert. Schützen konnte er sich nicht.

  2. Studie: Bürger fordern umfassende Digitalisierung der Verwaltung
    Studie
    Bürger fordern umfassende Digitalisierung der Verwaltung

    Ein Gang zum Amt dauert durchschnittlich drei Stunden. Die Bürger wollen dies lieber im Internet erledigen. Doch damit hapert es.

  3. Satechi: USB-C-Hub integriert eine externe SSD gleich mit
    Satechi
    USB-C-Hub integriert eine externe SSD gleich mit

    Der Hybrid Multiport Adapter kann per USB-C ein Notebook aufladen und weitere Geräte verbinden. Außerdem ist Platz für eine M.2-SSD.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Speicherprodukte von Sandisk & WD zu Bestpreisen (u. a. Sandisk SSD Plus 2TB 140,99€) • Sapphire Pulse RX 6600 497,88€ • Nintendo Switch OLED 369,99€ • Epos H3 Hybrid Gaming-Headset 144€ • Apple MacBook Pro 2021 ab 2.249€ • EA-Spiele günstiger • Samsung 55" QLED 699€ [Werbung]
    •  /