TLS-Zertifikate: Altes Let's-Encrypt-Root läuft ab

Bei Fehlkonfigurationen und alten Geräten können Zertifikatsfehler mit Let's Encrypt auftreten.

Artikel veröffentlicht am ,
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern.
Das alte von Let's Encrypt mitverwendete Root-Zertifikat ist abgelaufen. Serverbetreiber sollten sicherstellen, dass sie eine korrekte Zertifikatskette ausliefern. (Bild: Franz van Duns/Wikimedia Commons/CC-BY-SA 4.0)

Ein Root-Zertifikat der Firma Identrust ist heute abgelaufen. Das Zertifikat mit dem Namen DST Root CA X3 wurde von Let's Encrypt lange Zeit genutzt, um die Gültigkeit der ausgestellten Zertifikate auch in alten Browsern zu gewährleisten.

Stellenmarkt
  1. DevOps Engineer/IT Tüftler (m/w/d)
    Linova Software GmbH, München
  2. Agile Software Entwickler (m/w/d) Java
    binaris-informatik, Langenfeld
Detailsuche

Inzwischen besitzt Let's Encrypt auch ein eigenes Root-Zertifikat, das in allen modernen Browsern unterstützt wird. Ursprünglich war daher der Plan, mit dem Ablaufen des Identrust-Roots auf ein Zwischenzertifikat umzusteigen, das vom eigenen Root-Zertifikat ("ISRG Root X1") signiert ist.

Doch während aktuelle Software damit kein Problem hätte, wären viele alte Geräte künftig ausgeschlossen gewesen. Dabei geht es vor allem um alte Android-Versionen. Daher hat Let's Encrypt sich entschlossen, eine Lösung hierfür anzubieten.

Cross-Signatur-Chain ermöglicht Kompatibilität mit alten Androids

Dabei kann neben dem neuen Zwischenzertifikat auch das Root-Zertifikat von Let's Encrypt mit einer Cross-Signatur des alten Identrust-Roots ausgeliefert werden. Diese Kombination führt überraschenderweise dazu, dass es auch auf alten Geräten funktioniert. Der Grund dafür ist, dass in Android die Ablaufdaten der Root-Zertifikate nicht geprüft werden. Somit ist eine solche Zertifikatskette weiterhin gültig.

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Netzwerktechnik Kompaktkurs
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Serverbetreiber können sich also entscheiden, ob sie nur das neue Zwischenzertifikat ausliefern oder die Kombination des neuen Zwischenzertifikats und des Cross-Zertifikats. Letzteres ist mit mehr alten Geräten kompatibel, es führt aber zu einem etwas größeren TLS-Handshake.

Man sollte allerdings vermeiden, weiterhin das alte, abgelaufene Zwischenzertifikat auszuliefern. Das führt dazu, dass eine Verbindung mit vielen Clients nicht mehr möglich ist. In Webbrowsern ist das in der Regel kein Problem, da diese auf verschiedene Weisen versuchen, ein Zertifikat anderweitig zu prüfen. Aber einfachere Clients haben in der Regel keine solche Funktionalität.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wer in den nächsten Tagen auf überraschende Zertifikatsfehler stößt, sollte dies im Blick haben. Ob das Zwischenzertifikat korrekt installiert ist, lässt sich bei Webservern beispielsweise mit dem SSL-Labs-Test der Firma Qualys prüfen. Im Feld "Chain Issues" wird bei einem veralteten Zwischenzertifikat ein Fehler angezeigt. Alternativ zeigt auch ein Aufruf mit dem Kommandozeilentool "curl" einen Fehler bei einem abgelaufenen Zwischenzertifikat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Iruwen 01. Okt 2021 / Themenstart

Wenn bei Verwendung von acme.sh Fehler auftreten: acme.sh --issue --preferred-chain...

AynRandHatteRecht 01. Okt 2021 / Themenstart

Es war am 2021-09-14 mit ca-certificates-2021.2.50-72.el7_9.noarch.rpm

felix.schwarz 01. Okt 2021 / Themenstart

Das ist ein Bug im NextCloud Windows-Client (auch in der aktuellsten Version 3.3.5...

bgmenot 30. Sep 2021 / Themenstart

einfach die alten Root CAs löschen https://www.borncity.com/blog/2021/09/30/30-sept-2021...

RipClaw 30. Sep 2021 / Themenstart

Es betrifft generell alle Distributionen und Systeme die Dovecot in der Version 2.3...

Kommentieren



Aktuell auf der Startseite von Golem.de
WSL 2 in Windows 11
Von der Hassliebe zur fast perfekten Windows-Linux-Symbiose

Das Windows Subsystem für Linux bietet in Windows 11 theoretisch alles, was sich der Linux-Redakteur wünscht. Einige Fehler und Abstürze trüben jedoch den Eindruck.
Ein Test von Sebastian Grüner

WSL 2 in Windows 11: Von der Hassliebe zur fast perfekten Windows-Linux-Symbiose
Artikel
  1. Metaversum: Facebook plant wohl seine Umbenennung
    Metaversum
    Facebook plant wohl seine Umbenennung

    Einem Gerücht zufolge will Facebook seinen Firmennamen ändern. Der neue Name soll reflektieren, dass das Unternehmen mittlerweile mehr bietet.

  2. Kaufberatung: Macbook Air oder Macbook Pro und wenn ja, welches?
    Kaufberatung
    Macbook Air oder Macbook Pro und wenn ja, welches?

    Apple macht es Kunden nicht leicht, das richtige Macbook zu finden. Wir geben Entscheidungshilfe.

  3. In-Ears: Airpods 3 halten nur mit ausgeschaltetem Raumklang 6 Stunden
    In-Ears
    Airpods 3 halten nur mit ausgeschaltetem Raumklang 6 Stunden

    Die neuen Airpods 3 von Apple erreichen die angegebene Laufzeit von sechs Stunden nicht, wenn alle Funktionen aktiviert sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 in Kürze bestellbar • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen [Werbung]
    •  /