{"id":258134,"date":"2021-09-30T00:01:00","date_gmt":"2021-09-29T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258134"},"modified":"2023-04-29T10:42:08","modified_gmt":"2023-04-29T08:42:08","slug":"30-sept-2021-knallt-es-bei-lets-encrypt-zertifikaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/30\/30-sept-2021-knallt-es-bei-lets-encrypt-zertifikaten\/","title":{"rendered":"30. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=21553\" target=\"_blank\" rel=\"noopener\">English<\/a>]Betreibt jemand Webangebote, die \u00fcber Let's-Encrypt-Zertifikate signiert werden? Dann k\u00f6nnte es zum heutigen 30. September 2021 eventuell Probleme geben. Denn das von Let's Encrypt zum Signieren von Kundenzertifikaten verwendete Root-Zertifikat verliert an diesem Tag seine G\u00fcltigkeit (Ablauf des Intermediate R3 am 29.9.2021 um 19:21:40 GMT &#8211; das DST Root CA X3 l\u00e4uft am 30.9.2021 14:01:15 GMT aus). Clients, die nur die alten Root-Zertifikate kennen, k\u00f6nnen danach die Server-Zertifikate von Let's Encrypt nicht mehr verifizieren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/40a2a28c656a47cd8e9145663fba0f6b\" alt=\"\" width=\"1\" height=\"1\" \/>Eine Liste der betroffenen Produkte hat Let's Encrypt <a href=\"https:\/\/letsencrypt.org\/docs\/certificate-compatibility\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> ver\u00f6ffentlicht. Nachfolgend findet sich ein Auszug der Plattformen, die noch funktionieren sollten.<\/p>\n<h3>Plattformen, die ISRG Root X1 vertrauen<\/h3>\n<ul>\n<li>Windows &gt;= XP SP3 (vorausgesetzt, das automatische Root-Zertifikat-Update ist nicht manuell deaktiviert)<\/li>\n<li><a href=\"https:\/\/twitter.com\/letsencrypt\/status\/790960929504497665?lang=en\" target=\"_blank\" rel=\"noopener\">macOS &gt;= 10.12.1<\/a><\/li>\n<li><a href=\"https:\/\/support.apple.com\/en-us\/HT207177\" target=\"_blank\" rel=\"noopener\">iOS &gt;= 10<\/a> (<a href=\"https:\/\/support.apple.com\/en-us\/HT205205\" target=\"_blank\" rel=\"noopener\">iOS 9 does not include it<\/a>)<\/li>\n<li><a href=\"https:\/\/en.wikipedia.org\/wiki\/IPhone_5\" target=\"_blank\" rel=\"noopener\">iPhone 5 and above can upgrade to iOS 10<\/a> and can thus trust ISRG Root X1<\/li>\n<li><a href=\"https:\/\/android.googlesource.com\/platform\/system\/ca-certificates\/+\/android-7.1.1_r15\" target=\"_blank\" rel=\"noopener\">Android &gt;= 7.1.1<\/a> (but Android &gt;= 2.3.6 will work by default <a href=\"https:\/\/letsencrypt.org\/2020\/12\/21\/extending-android-compatibility.html\" target=\"_blank\" rel=\"noopener\">due to our special cross-sign<\/a>)<\/li>\n<li><a href=\"https:\/\/bugzilla.mozilla.org\/show_bug.cgi?id=1204656\" target=\"_blank\" rel=\"noopener\">Mozilla Firefox &gt;= 50.0<\/a><\/li>\n<li><a href=\"https:\/\/packages.ubuntu.com\/xenial\/all\/ca-certificates\/filelist\" target=\"_blank\" rel=\"noopener\">Ubuntu &gt;= xenial \/ 16.04<\/a> (with updates applied)<\/li>\n<li><a href=\"https:\/\/packages.debian.org\/jessie\/all\/ca-certificates\/filelist\" target=\"_blank\" rel=\"noopener\">Debian &gt;= jessie \/ 8<\/a> (with updates applied)<\/li>\n<li><a href=\"https:\/\/www.oracle.com\/java\/technologies\/javase\/8u141-relnotes.html\" target=\"_blank\" rel=\"noopener\">Java 8 &gt;= 8u141<\/a><\/li>\n<li><a href=\"https:\/\/www.oracle.com\/java\/technologies\/javase\/7u151-relnotes.html\" target=\"_blank\" rel=\"noopener\">Java 7 &gt;= 7u151<\/a><\/li>\n<li><a href=\"https:\/\/web.archive.org\/web\/20211207014436\/https:\/\/developer.mozilla.org\/en-US\/docs\/Mozilla\/Projects\/NSS\/NSS_3.26_release_notes\" target=\"_blank\" rel=\"noopener\">NSS &gt;= 3.26<\/a><\/li>\n<\/ul>\n<p>Browsers (Chrome, Safari, Edge, Opera) vertrauen in der Regel denselben Stammzertifikaten wie das Betriebssystem, auf dem sie ausgef\u00fchrt werden. Firefox ist die Ausnahme: Er hat seinen eigenen Root Store. In K\u00fcrze werden auch die neuen Versionen von Chrome \u00fcber einen <a href=\"https:\/\/www.chromium.org\/Home\/chromium-security\/root-ca-policy\" target=\"_blank\" rel=\"noopener\">eigenen Root Store<\/a> verf\u00fcgen.<\/p>\n<h3>Plattformen, die der DST Root CA X3 vertrauen<\/h3>\n<ul>\n<li>Windows &gt;= XP SP3<\/li>\n<li>macOS (most versions)<\/li>\n<li>iOS (most versions)<\/li>\n<li><a href=\"https:\/\/twitter.com\/Tutancagamon\/status\/600783165087752192\" target=\"_blank\" rel=\"noopener\">Android &gt;= v2.3.6<\/a><\/li>\n<li>Mozilla Firefox &gt;= v2.0<\/li>\n<li>Ubuntu &gt;= precise \/ 12.04<\/li>\n<li><a href=\"https:\/\/twitter.com\/TokenScandi\/status\/600806080684359680\" target=\"_blank\" rel=\"noopener\">Debian &gt;= squeeze \/ 6<\/a><\/li>\n<li>Java 8 &gt;= 8u101<\/li>\n<li>Java 7 &gt;= 7u111<\/li>\n<li>NSS &gt;= v3.11.9<\/li>\n<li>Amazon FireOS (Silk Browser)<\/li>\n<li>Cyanogen &gt; v10<\/li>\n<li>Jolla Sailfish OS &gt; v1.1.2.16<\/li>\n<li>Kindle &gt; v3.4.1<\/li>\n<li>Blackberry &gt;= 10.3.3<\/li>\n<li>PS4 Spielekonsole mit Firmware &gt;= 5.00<\/li>\n<\/ul>\n<p>Weitere Informationen zur Kompatibilit\u00e4t finden Sie in <a href=\"https:\/\/community.letsencrypt.org\/t\/which-browsers-and-operating-systems-support-lets-encrypt\/\" target=\"_blank\" rel=\"noopener\">dieser Diskussion im Community-Forum<\/a>.<\/p>\n<h3>Bekanntlich inkompatible Produkte<\/h3>\n<ul>\n<li>Blackberry &lt; v10.3.3<\/li>\n<li>Android &lt; v2.3.6<\/li>\n<li>Nintendo 3DS<\/li>\n<li>Windows XP vor SP3 (kann keine SHA-2 signierten Zertifikate)<\/li>\n<li>Java 7 &lt; 7u111<\/li>\n<li>Java 8 &lt; 8u101<\/li>\n<li>Windows Live Mail (2012 Mail-Client, nicht Webmail, kann nicht mit Zertifikaten ohne CRL umgehen)<\/li>\n<li>PS3-Spielkonsole<\/li>\n<li>PS4-Spielkonsole mit Firmware &lt; 5.00<\/li>\n<\/ul>\n<p>heise hat in <a href=\"https:\/\/www.heise.de\/news\/Let-s-Encrypt-Zertifikate-Ruckler-am-30-September-moeglich-6201155.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> noch einige Hinweise zum Thema ver\u00f6ffentlicht.<\/p>\n<p><strong>Erg\u00e4nzung<\/strong>: Ich habe mal im Artikel\u00a0<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/30\/lets-encrypt-zertifikate-rger-mit-windows-sophos-utm-macos-ios-30-9-2021\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Let's Encrypt-Zertifikate-\u00c4rger mit Windows, Sophos UTM, macOS\/iOS (30.9.2021)<\/a> einige Informationen zusammen gefasst.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Betreibt jemand Webangebote, die \u00fcber Let's-Encrypt-Zertifikate signiert werden? Dann k\u00f6nnte es zum heutigen 30. September 2021 eventuell Probleme geben. Denn das von Let's Encrypt zum Signieren von Kundenzertifikaten verwendete Root-Zertifikat verliert an diesem Tag seine G\u00fcltigkeit (Ablauf des Intermediate R3 &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/09\/30\/30-sept-2021-knallt-es-bei-lets-encrypt-zertifikaten\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-258134","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258134"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258134\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258134"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258134"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}