[English]Let's Encrypt warnt aktuell davor, dass ihr Root-Zertifikat zum 1. September 2021 verfällt. Es gibt zwar Nachfolgezertifikate, aber ältere Software bekommt unter Umständen Probleme. Insbesondere werden Android-Geräte vor 7.1.1 irgendwann keine https-Webseiten mehr aufrufen können, wenn diese mit Let's Encrypt-Zertifikaten abgesichert wurden.
Anzeige
Inzwischen wird ein Großteil der Webseiten ja auf https-Servern gehostet und ist durch Zertifikate entsprechend abgesichert. Das setzt aber voraus, dass die betreffenden Zertifikate noch gültig sind. Webseiten, die mit Let's Encrypt-Zertifikaten abgesichert werden, bekommen irgendwann ein Problem mit alten Android-Geräten.
Das Problem: Let's Encrypt Root-Zertifikat läuft aus
Vor fünf Jahren, als Let's Encrypt als Zertifikatsdienst startete, erhielt der Dienst ein "DST Root X3"-Root-Zertifikat (als Quersignatur) von IdenTrust. Dieses "DST Root X3"-Zertifikat gab es schon lange, und alle wichtigen Software-Plattformen wie Windows, Firefox, MacOS, Android, iOS und eine Vielzahl von Linux-Distributionen vertrauten diesem Root-Zertifikat. Diese Quersignatur von IdenTrust ermöglichte Let's Encrypt, sofort mit der Ausstellung von Zertifikaten zu beginnen. Ohne IdenTrust wäre Let's Encrypt vielleicht nie zustande gekommen, schreiben die Let's Encrypt-Leute hier.
In der Zwischenzeit stellte Let's Encrypt ihr eigenes Root-Zertifikat ("ISRG Root X1") aus und beantragten, dass ihm die wichtigsten Software-Plattformen vertrauen. Das Root-Zertifikat wird inzwischen zwar von den wichtigsten Software-Plattformen unterstützt. Im Gegenzug läuft aber das DST Root X3 Root-Zertifikat, auf das sich Let's Encrypt verlassen hat, zum 1. September 2021 aus.
Allerdings bringt dies einige Kompatibilitätsprobleme mit sich. Alle Geräte und alle Software, deren Zertifikate seit 2016 nicht mehr aktualisiert wurde, vertrauen nicht dem ISRG Root X1-Root-Zertifikat. Das bedeutet, dass die Geräte ab diesem Stichtag Probleme bekommen werden, Webseiten per https abzurufen, wenn diese mit Let's Encrypt-Zertifikaten abgesichert wurden.
Anzeige
Android vor Version 7.1.1 betroffen
Let's Encropt macht in diesem Blog-Beitrag darauf aufmerksam, dass alle Android-Geräte vor der Version 7.1.1 von diesem verfallenden Root-Zertifikat betroffen sind. Denn leider hat Android hat ein seit langem bekanntes Problem mit Betriebssystemaktualisierungen. Es gibt viele Android-Geräte, auf denen veraltete Betriebssystem-Versionen laufen, die nie aktualisiert wurden. Die Ursachen sind komplex und schwer zu beheben: Für jedes Telefon wird das Android-Kernbetriebssystem in der Regel sowohl vom Hersteller als auch von einem Mobilfunkanbieter modifiziert, bevor ein Endbenutzer es erhält. Wenn es ein Update für Android gibt, müssen sowohl der Hersteller als auch der Mobilfunkanbieter diese Änderungen in ihre angepasste Version integrieren, bevor sie verschickt wird. Oft entscheiden die Hersteller, dass sich der Aufwand nicht lohnt. Das Ergebnis: Viele Nutzer haben Android-Geräte, die schon seit Jahren veraltet sind und nicht mehr aktualisiert werden.
Derzeit laufen auf 66,2% der Android-Geräte mit der Version 7.1 oder höher. Aber die restlichen 33,8% der Android-Geräte haben eine ältere Version installiert. Diese Geräte werden irgendwann Zertifikatsfehler anzeigen, wenn Benutzer Websites besuchen, die ein Let's Encrypt-Zertifikat haben. In der Kommunikation mit großen Integratoren haben die Leute von Let's Encrypt festgestellt, dass dies etwa 1-5 % des Datenverkehrs auf deren Sites ausmacht.
Ab Januar 2021 ändert sich Zertifikatsausstellung
Ab dem 11. Januar 2021 ändert Let's Encrypt seine API, so dass ACME-Clients, wenn sie ein neues Let's Encrypt-Zertifikat für eine Webseite anfordern, dieses standardmäßig auf SRG Root X1 basiert. Das ältere DST Root X3-Root-Zertifikat wird dann nicht mehr zum Signieren der Zertifikate für Webseiten verwendet. Solche Webseiten können mit älteren Android-Geräten nicht mehr aufgerufen werden.
Für Website-Betreiber wird es jedoch auch möglich sein, eine alternative Zertifikatskette für dasselbe Zertifikat zu bedienen, die auf dem DST Root X3 basiert und eine breitere Kompatibilität bietet. Dies wird über die ACME-"alternative" Link-Relation implementiert. Dies wird von Certbot ab Version 1.6.0 unterstützt. Wenn Sie einen anderen ACME-Client verwenden, prüfen Sie bitte in der Dokumentation Ihres Clients, ob die "alternative" Link-Relation unterstützt wird. Details lassen sich in diesem Blog-Beitrag nachlesen.
Ergänzung: Möglicherweise hilft betroffenen Nutzern die Verwendung des Firefox für Android weiter. Denn (zumindest auf dem Desktop) bringt der Firefox einen eigenen Zertifikatespeicher mit, sollte also das geänderte Root-Zertifikat berücksichtigen. Einfach mal ausprobieren.
Anzeige
Hat denn Android keine Funktion, um Zertifikate zu importieren?
Einige haben durchaus diese Funktion. Ich möchte jetzt nicht "alle" schreiben, da mir nicht alle möglichen Konstellationen vorliegen.
Die Frage ist: Wer bekommt das auf die Kette? Die meisten Nutzer sind recht unbedarft, was Konfigurationen wie diese anbelangt. Und das meine ich nicht wertend.
@ Günter
Die Alternative "Firefox" ist auch nur bedingt tauglich, da diese Seiten dann eben nur im Browser aufgerufen werden können. Lustig wird es mit Mail-Apps (eigener Mailserver), Cloud-Apps (eigene Nextcloud) usw. usf. – da muß man tatsächlich den Aufwand betreiben und das "neue" Stammzertifikat manuell in den Speicher des Smartphones importieren.
Zu gegebener Zeit werde ich es vielleicht mal aufgreifen. Ich kippe mal ein paar Infos hier rein.
Google hat es hier beschrieben, wie man auf Pixel vorgeht. Auf Android 8 heißt bei mir der Punkt unter Sicherheit & Standort 'Von SD-Karte installieren', wo man Root-Zertifikate nachinstallieren kann. Unter Android 5 auf meinem alten Nexus 4 heißt der Punkt 'Von Speicher installieren' in der Kategorie 'Sicherheit'.
Mike Kuketz hat hier die Import-Schritte beschrieben, und hier gibt es auch eine Anleitung – habe beides aber nicht probiert.
Auch wenn es viele bekannt ist, man kann und darf auch ältere Geräte auf eine aktuellere Android Version aktualisieren. LineageOS ist z.B. eine sehr gute Alternative. ;)
Samsung Galaxy S4 + S5 können mit Anroid 10 betrieben werden. Und monatlich kommen die Sicherheitsupdates.
Das wird für Viele schlicht kein Weg sein, weil:
a) das zu kompliziert ist (ja, hier läuft ein Galaxy S4 mit Linage OS 16 – aber ich habe mehrere Ansätze gebraucht)
b) es nur für populäre Smartphones Lineage OS-Portierungen gibt.
Nur als Ergänzung zu sehen.
Heißt im Kartext wieder mehr Elektroschrott, weil man gezwungen wird sich ein neues Smartphone zu kaufen.
(ob man will oder nicht)
Ich hab vor 2 Wochen 3 x S5 mit LOS 17.1 in insgesamt 1,5 Stunden bestückt. Kompliziert ist das ganz sicher nicht. Wenn eine Anleitung mehr als 10 Zeilen hat, ist sie zu kompliziert für die halbe Menschheit. Am besten ist ein Video, da braucht man nur hinschauen. LineageOS unterstützt 166 Geräte, da sollte doch ein Gerät dabei sein, oder?
Ansonsten gibt es z.B. auch CalyxOS und ein paar andere Custom ROMS. Oder eben jemanden bitten, der das machen kann.
Das mit den Custom Roms ist auch wieder so eine Sache.
LOS selber listet zwar etliche Geräte auf, aber nur eine handvoll davon werden tatsächlich auch ordentlich gepflegt und mit Aktualisierungen versorgt.
Kuketz hat dazu 'ne Serie aufgelegt und die Stolperfallen aufgezeigt.
Custom Roms haben obendrein noch ein bitter böses Geschmäckle: Man muß die Geräte rooten. Dank PSD2 Richtlinie ist so ein Gerät dann seitens fast aller Banken als "unsicher" anzusehen – deren Apps (egal ob für's Banking selber, oder für die Authentifizierung) verweigern dann den Dienst.
Und ja, auch hier gibt es workarounds, um solche Apps zum laufen zu bekommen, aber ich selber werde einen Teufel tun, eine App aus fragwürdiger Quelle / Herkunft dafür zu nutzen, einer App vorzugaukeln, in einer sicheren Umgebung zu laufen.
Ansonsten hast Du natürlich recht, für Daddel*-Handys sind Custom Roms durchaus eine Überlegung wert.
* Sammelbegriff für nicht essentiell wichtige Gerätschaften, also bisserl Smalltalk, telefonieren, etwas zocken, Mails checken, Adressbuch etc.
Damit ist Let's Encrypt tot und wir kaufen wieder Zertifakte bei den alt eingesessenen CAs. Und zwar viel mehr als vorher…
LET'S ENCRYPT:
"We're happy to announce that we have developed a way for older Android devices to retain their ability to visit sites that use Let's Encrypt certificates after our cross-signed intermediates expire. We are no longer planning any changes in January that may cause compatibility issues for Let's Encrypt subscribers…"
https://letsencrypt.org/2020/12/21/extending-android-compatibility.html