Update: Let’s Encrypt hat eine Lösung gefunden, die es Android-Geräten ermöglicht, mit ihren Zertifikaten kompatibel zu bleiben. Sie können über die erweiterte Kompatibilität lesen
hier
.
Seit seiner Gründung hat Let’s Encrypt weltweit über eine Milliarde kostenloser Zertifikate ausgestellt. Die Open-Source-CA hat jedoch wesentlich zur Verbreitung von HTTPS beigetragen, es war nicht immer alles glatt gelaufen. Nun sollten sich die Nutzer von Let’s Encrypt-Zertifikaten auf einen weiteren “Sturm” gefasst machen. Ab Januar 2021 wird die Kompatibilität von Let’s Encrypt-Zertifikaten mit älteren Geräten und Anwendungen eingeschränkt, was sich sowohl auf die Nutzer als auch auf die Betreiber von Websites auswirken wird.
Der Übeltäter ist ein ablaufendes Stammzertifikat eines Drittanbieters, das Let’s Encrypt für das Cross-Sing seiner Zertifikate verwendet. Es ist gängige Praxis, dass neue Zertifizierungsstellen ihre Zertifikate mit dem vertrauenswürdigen Stamm einer bestehenden Zertifizierungsstelle abgleichen. Als Let’s Encrypt 2015 in der SSL-Szene auftauchte, konnte das eigene Root-Zertifikat nicht von allen wichtigen Browsern und Betriebssystemen als vertrauenswürdig eingestuft werden. Es dauert Jahre, bis neue Root-Zertifikate alle Sicherheitsprüfungen und Vorschriften bestanden haben. Deshalb hat Let’s Encrypt das IdenTrust DST Root X3-Zertifikat ausgewählt.
Das Cross-Signing ermöglichte Let’s Encrypt, sofort gültige und vertrauenswürdige SSL-Zertifikate auszustellen. Alles war gut, bis das Auslaufen der IdenTrust-Wurzel immer näher rückte. Sie wird am 30. September 2021 auslaufen und stellt ein Kompatibilitätsproblem für Let’s Encrypt und seine Nutzer dar.
Obwohl Let’s Encrypt am 11. Januar 2021 mit der Ausstellung von Wurzelzertifikaten beginnen wird, die an die ISRG Root X1 gekoppelt sind, hat ihre Root nicht den gleichen Kompatibilitätsbereich wie die IdenTrust Root. Leider erhalten Benutzer älterer Browser und Plattformen die SSL-Verbindungswarnung, wenn sie versuchen, auf Websites zuzugreifen, die durch Let’s Encrypt gesichert sind.
Android-Nutzer – am meisten von dem Problem betroffen
Nicht jeder wird von der eingeschränkten Kompatibilität betroffen sein. Die Hauptbetroffenen sind die Nutzer von Android 7.1.1 oder früher. Und obwohl diese alten Versionen für manche archaisch erscheinen mögen, laufen sie auf über 30 % der Android-Geräte noch immer. Diese Benutzer können nicht auf Websites mit Let’s Encrypt-Zertifikaten zugreifen. Stattdessen werden sie von den Browsern mit abschreckenden Zertifikatsfehlern begrüßt.
Let’s encrypt hat ein großes Problem, aber es ist nicht ihre Schuld, dass viele bekannte Plattformen so langsam Software-Updates herausgeben. Der größte Teil des Problems ist auf die Art und Weise zurückzuführen, wie die Hersteller von Mobiltelefonen das Android-Betriebssystem verwenden. Wenn Google ein Update veröffentlicht, wird es nicht direkt an alle Geräte verteilt, die es verwenden.
Meistens ignorieren die Hersteller die älteren Geräte. Im schlimmsten Fall können die älteren Telefone nicht einmal das neueste Update unterstützen. Aus diesem Grund verwenden Millionen von Android-Geräten veraltete Betriebssysteme, die dem neuen Let’s Encrypt-Root-Zertifikat nicht vertrauen können.
Neben Android haben auch Benutzer älterer Java-Versionen (vor 1.8.0) Kompatibilitätsprobleme und erhalten Zertifikatswarnungen, wenn sie auf Let’s Encrypt-geschützte Websites zugreifen.
Wie können Sie dieses Problem lösen?
Die schnellste und praktischste Lösung für Sie als Website-Besitzer ist der Wechsel zu einer anderen Zertifizierungsstelle. Kommerzielle CAs haben eine 99,3%ige Browserkompatibilität, einschließlich älterer Versionen und Serversysteme. Sie verwenden ihre eigenen vertrauenswürdigen Wurzeln und kreuzen ihre eigenen älteren Wurzeln für die beste Kompatibilität.
Eine kostenlose Alternative zu Let’s Encrypt sind CloudFlare- und Amazon-Zertifikate, die Sie jedoch nur verwenden können, solange Sie Kunde dieser Anbieter sind. Das Let’s Encrypt in Bezug auf die Funktionen am nächsten kommende Programm ist Positiv SSLein günstiges Domain-Validierungszertifikat. Im Gegensatz zu Let’s Encrypt enthält es auch ein statisches Site Seal und eine SSL-Garantie.
Wenn Sie Ihr Let’s Encrypt-Zertifikat nicht ersetzen möchten, können Sie Ihre Besucher vor dem bevorstehenden Problem warnen und sie bitten, ihre Android-Geräte zu aktualisieren. Die meisten Nutzer sind jedoch nicht technisch versiert und werden sich nicht die Mühe machen, eine Website zu besuchen. Sie können die Unterstützung für ältere Versionen einstellen, aber auch das wird Ihre Benutzer verärgern und Ihren Kundendienst mit Beschwerden überfluten.
Die sinnvollste Option ist der Wechsel zu einer anderen CA, sofern Let’s Encrypt nicht bis zum neuen Jahr eine Lösung anbietet.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
