TLS-Zertifikate: Altes Let's-Encrypt-Root läuft ab

Bei Fehlkonfigurationen und alten Geräten können Zertifikatsfehler mit Let's Encrypt auftreten.

Artikel veröffentlicht am ,
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern.
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern. (Bild: Franz van Duns/Wikimedia Commons/CC-BY-SA 4.0)

Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.

Stellenmarkt
  1. Referent Kosten- und Leistungsrechnung (m/w/d)
    Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  2. Funktionsentwickler Funktionale Sicherheit (m/w/d)
    Schaeffler Automotive Buehl GmbH & Co. KG, Bühl
Detailsuche

Inzwischen besitzt Let's Encrypt auch ein eigenes Root-Zertifikat, das in allen modernen Browsern unterstützt wird. Ursprünglich war daher der Plan, mit dem Ablaufen des Identrust-Roots auf ein Zwischenzertifikat umzusteigen, das vom eigenen Root-Zertifikat ("ISRG Root X1") signiert ist.

Doch während aktuelle Software damit kein Problem hätte, wären viele alte Geräte künftig ausgeschlossen gewesen. Dabei geht es vor allem um alte Android-Versionen. Daher hat Let's Encrypt sich entschlossen, eine Lösung hierfür anzubieten.

Cross-Signatur-Chain ermöglicht Kompatibilität mit alten Androids

Dabei kann neben dem neuen Zwischenzertifikat auch das Root-Zertifikat von Let's Encrypt mit einer Cross-Signatur des alten Identrust-Roots ausgeliefert werden. Diese Kombination führt überraschenderweise dazu, dass es auch auf alten Geräten funktioniert. Der Grund dafür ist, dass in Android die Ablaufdaten der Root-Zertifikate nicht geprüft werden. Somit ist eine solche Zertifikatskette weiterhin gültig.

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
Weitere IT-Trainings

Serverbetreiber können sich also entscheiden, ob sie nur das neue Zwischenzertifikat ausliefern oder die Kombination des neuen Zwischenzertifikats und des Cross-Zertifikats. Letzteres ist mit mehr alten Geräten kompatibel, es führt aber zu einem etwas größeren TLS-Handshake.

Man sollte allerdings vermeiden, weiterhin das alte, abgelaufene Zwischenzertifikat auszuliefern. Das führt dazu, dass eine Verbindung mit vielen Clients nicht mehr möglich ist. In Webbrowsern ist das in der Regel kein Problem, da diese auf verschiedene Weisen versuchen, ein Zertifikat anderweitig zu prüfen. Aber einfachere Clients haben in der Regel keine solche Funktionalität.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wer in den nächsten Tagen auf überraschende Zertifikatsfehler stößt, sollte dies im Blick haben. Ob das Zwischenzertifikat korrekt installiert ist, lässt sich bei Webservern beispielsweise mit dem SSL-Labs-Test der Firma Qualys prüfen. Im Feld "Chain Issues" wird bei einem veralteten Zwischenzertifikat ein Fehler angezeigt. Alternativ zeigt auch ein Aufruf mit dem Kommandozeilentool "curl" einen Fehler bei einem abgelaufenen Zwischenzertifikat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 01. Okt 2021

Wenn bei Verwendung von acme.sh Fehler auftreten: acme.sh --issue --preferred-chain...

AynRandHatteRecht 01. Okt 2021

Es war am 2021-09-14 mit ca-certificates-2021.2.50-72.el7_9.noarch.rpm

felix.schwarz 01. Okt 2021

Das ist ein Bug im NextCloud Windows-Client (auch in der aktuellsten Version 3.3.5...

bgmenot 30. Sep 2021

einfach die alten Root CAs löschen https://www.borncity.com/blog/2021/09/30/30-sept-2021...



Aktuell auf der Startseite von Golem.de
Pendix eDrive
Ein E-Bike wie kein anderes

Pendix bietet einen Umbausatz, mit dem aus normalen Fahrrädern E-Bikes werden. Nicht ganz billig - aber auf jeden Fall ein Vergnügen.
Ein Test von Martin Wolf

Pendix eDrive: Ein E-Bike wie kein anderes
Artikel
  1. Deutsche Telekom: Datenrekord auf Oktoberfest trotz Besucherrückgang
    Deutsche Telekom
    Datenrekord auf Oktoberfest trotz Besucherrückgang

    Die Nutzer der Telekom haben bereits 88 Terabyte Daten übertragen.

  2. Effizienter und schneller: Die Bundeswehr wird digitaler
     
    Effizienter und schneller: Die Bundeswehr wird digitaler

    Viele Unternehmen und Organisationen haben erkannt, dass Digitalisierung das Arbeitsleben effizienter machen kann. Bereits auf einem sehr guten Weg ist die Bundeswehr.
    Sponsored Post von BWI

  3. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower  
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /