{"id":237405,"date":"2020-11-09T00:36:04","date_gmt":"2020-11-08T23:36:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237405"},"modified":"2020-11-09T11:27:27","modified_gmt":"2020-11-09T10:27:27","slug":"android-vor-7-1-1-kann-ab-1-9-2021-keine-https-seiten-mehr-abrufen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/09\/android-vor-7-1-1-kann-ab-1-9-2021-keine-https-seiten-mehr-abrufen\/","title":{"rendered":"Android vor 7.1.1 kann ab 1.9.2021 keine https-Seiten mehr abrufen"},"content":{"rendered":"

[English<\/a>]Let's Encrypt warnt aktuell davor, dass ihr Root-Zertifikat zum 1. September 2021 verf\u00e4llt. Es gibt zwar Nachfolgezertifikate, aber \u00e4ltere Software bekommt unter Umst\u00e4nden Probleme. Insbesondere werden Android-Ger\u00e4te vor 7.1.1 irgendwann keine https-Webseiten mehr aufrufen k\u00f6nnen, wenn diese mit Let's Encrypt-Zertifikaten abgesichert wurden.<\/p>\n

<\/p>\n

\"\"Inzwischen wird ein Gro\u00dfteil der Webseiten ja auf https-Servern gehostet und ist durch Zertifikate entsprechend abgesichert. Das setzt aber voraus, dass die betreffenden Zertifikate noch g\u00fcltig sind. Webseiten, die mit Let's Encrypt-Zertifikaten abgesichert werden, bekommen irgendwann ein Problem mit alten Android-Ger\u00e4ten.<\/p>\n

Das Problem: Let's Encrypt Root-Zertifikat l\u00e4uft aus<\/h2>\n

Vor f\u00fcnf Jahren, als Let's Encrypt als Zertifikatsdienst startete, erhielt der Dienst<\/a> ein \"DST Root X3\"-Root-Zertifikat (als Quersignatur) von IdenTrust. Dieses \"DST Root X3\"-Zertifikat gab es schon lange, und alle wichtigen Software-Plattformen wie Windows, Firefox, MacOS, Android, iOS und eine Vielzahl von Linux-Distributionen vertrauten diesem Root-Zertifikat. Diese Quersignatur von IdenTrust erm\u00f6glichte Let's Encrypt, sofort mit der Ausstellung von Zertifikaten zu beginnen. Ohne IdenTrust w\u00e4re Let's Encrypt vielleicht nie zustande gekommen, schreiben die Let's Encrypt-Leute hier<\/a>.<\/p>\n

In der Zwischenzeit stellte Let's Encrypt ihr eigenes Root-Zertifikat (\"ISRG Root X1\") aus und beantragten, dass ihm die wichtigsten Software-Plattformen vertrauen. Das Root-Zertifikat wird inzwischen zwar von den wichtigsten Software-Plattformen unterst\u00fctzt. Im Gegenzug l\u00e4uft aber das DST Root X3 Root-Zertifikat, auf das sich Let's Encrypt verlassen hat, zum 1. September 2021 aus.<\/p>\n

Allerdings bringt dies einige Kompatibilit\u00e4tsprobleme mit sich. Alle Ger\u00e4te und alle Software, deren Zertifikate seit 2016 nicht mehr aktualisiert wurde, vertrauen nicht dem ISRG Root X1-Root-Zertifikat. Das bedeutet, dass die Ger\u00e4te ab diesem Stichtag Probleme bekommen werden, Webseiten per https abzurufen, wenn diese mit Let's Encrypt-Zertifikaten abgesichert wurden.<\/p>\n

Android vor Version 7.1.1 betroffen<\/h2>\n

Let's Encropt macht in diesem Blog-Beitrag<\/a> darauf aufmerksam, dass alle Android-Ger\u00e4te vor der Version 7.1.1 von diesem verfallenden Root-Zertifikat betroffen sind. Denn leider hat Android hat ein seit langem bekanntes Problem mit Betriebssystemaktualisierungen. Es gibt viele Android-Ger\u00e4te, auf denen veraltete Betriebssystem-Versionen laufen, die nie aktualisiert wurden. Die Ursachen sind komplex und schwer zu beheben: F\u00fcr jedes Telefon wird das Android-Kernbetriebssystem in der Regel sowohl vom Hersteller als auch von einem Mobilfunkanbieter modifiziert, bevor ein Endbenutzer es erh\u00e4lt. Wenn es ein Update f\u00fcr Android gibt, m\u00fcssen sowohl der Hersteller als auch der Mobilfunkanbieter diese \u00c4nderungen in ihre angepasste Version integrieren, bevor sie verschickt wird. Oft entscheiden die Hersteller, dass sich der Aufwand nicht lohnt. Das Ergebnis: Viele Nutzer haben Android-Ger\u00e4te, die schon seit Jahren veraltet sind und nicht mehr aktualisiert werden.<\/p>\n

Derzeit laufen auf 66,2% der Android-Ger\u00e4te mit der Version 7.1 oder h\u00f6her. Aber die restlichen 33,8% der Android-Ger\u00e4te haben eine \u00e4ltere Version installiert. Diese Ger\u00e4te werden irgendwann Zertifikatsfehler anzeigen, wenn Benutzer Websites besuchen, die ein Let's Encrypt-Zertifikat haben. In der Kommunikation mit gro\u00dfen Integratoren haben die Leute von Let's Encrypt festgestellt, dass dies etwa 1-5 % des Datenverkehrs auf deren Sites ausmacht.<\/p>\n

Ab Januar 2021 \u00e4ndert sich Zertifikatsausstellung<\/h2>\n

Ab dem 11. Januar 2021 \u00e4ndert Let's Encrypt seine API, so dass ACME-Clients, wenn sie ein neues Let's Encrypt-Zertifikat f\u00fcr eine Webseite anfordern, dieses standardm\u00e4\u00dfig auf SRG Root X1 basiert. Das \u00e4ltere DST Root X3-Root-Zertifikat wird dann nicht mehr zum Signieren der Zertifikate f\u00fcr Webseiten verwendet. Solche Webseiten k\u00f6nnen mit \u00e4lteren Android-Ger\u00e4ten nicht mehr aufgerufen werden.<\/p>\n

F\u00fcr Website-Betreiber wird es jedoch auch m\u00f6glich sein, eine alternative Zertifikatskette f\u00fcr dasselbe Zertifikat zu bedienen, die auf dem DST Root X3 basiert und eine breitere Kompatibilit\u00e4t bietet. Dies wird \u00fcber die ACME-\"alternative\" Link-Relation implementiert. Dies wird von Certbot ab Version 1.6.0 unterst\u00fctzt. Wenn Sie einen anderen ACME-Client verwenden, pr\u00fcfen Sie bitte in der Dokumentation Ihres Clients, ob die \"alternative\" Link-Relation unterst\u00fctzt wird. Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n

Erg\u00e4nzung:<\/strong> M\u00f6glicherweise hilft betroffenen Nutzern die Verwendung des Firefox f\u00fcr Android weiter. Denn (zumindest auf dem Desktop) bringt der Firefox einen eigenen Zertifikatespeicher mit, sollte also das ge\u00e4nderte Root-Zertifikat ber\u00fccksichtigen. Einfach mal ausprobieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Let's Encrypt warnt aktuell davor, dass ihr Root-Zertifikat zum 1. September 2021 verf\u00e4llt. Es gibt zwar Nachfolgezertifikate, aber \u00e4ltere Software bekommt unter Umst\u00e4nden Probleme. Insbesondere werden Android-Ger\u00e4te vor 7.1.1 irgendwann keine https-Webseiten mehr aufrufen k\u00f6nnen, wenn diese mit Let's Encrypt-Zertifikaten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,4328,1468],"class_list":["post-237405","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-sicherheit","tag-zertifikate"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237405","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237405"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237405\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237405"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237405"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237405"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}