Änderungen Let’s Encrypt – Ablauf des Stammzertifikats DST Root CA X3 im September 2021

Veröffentlicht am 20. Mai 2021
Am 30. September 2021 wird es eine kleine Änderung geben, wie ältere Browser und Geräte Let’s Encrypt-Zertifikaten vertrauen. Für die meisten Websites wird das keinen großen Unterschied machen. Den meisten Besuchern wird weiterhin alles ganz normal angezeigt. Wenn eine API bereitgestellt wird oder IoT-Geräte unterstützt werden müssen, dann könnte es allerdings sein, dass diese Änderung eine größere Rolle spielt.

Ursprung der Zertifikate

Let’s Encrypt hat ein so genanntes „Stammzertifikat“ namens ISRG Root X1. Moderne Browser und Geräte vertrauen dem Let’s Encrypt-Zertifikat, das evtl. auf einer Website installiert ist, weil sie es in ihre Liste der Stammzertifikate aufnehmen. Um sicherzustellen, dass die von Let’s Encrypt ausgestellten Zertifikate auf älteren Geräten als vertrauenswürdig angezeigt werden, gibt es zusätzlich eine „Cross-Signatur“ von einem älteren Stammzertifikat: DST Root CA X3.

Dieses ältere Stammzertifikat hat Let’s Encrypt ursprünglich genutzt, um gleich zu Beginn auf möglichst vielen Geräten als vertrauenswürdig eingestuft zu werden. Das neuere Root-Zertifikat (ISRG Root X1) garantiert das inzwischen allerdings auch. Gleichzeitig werden aber einige ältere Geräte ihm nie vertrauen, weil sie keine Software-Updates mehr erhalten (z. B. ein iPhone 4 oder ein HTC Dream).

Hier finden Sie eine Liste, welche Plattformen ISRG Root X1 vertrauen.

Das wird nach dem 30.09.2021 passieren

DST Root CA X3 wird am 30. September 2021 auslaufen. Das bedeutet, dass einige ältere Geräte, die dem neuen Zertifikat nicht vertrauen, anfangen werden, Zertifikatswarnungen anzuzeigen, wenn sie Websites besuchen, die Let’s Encrypt-Zertifikate verwenden.

Es gibt eine wichtige Ausnahme: Ältere Android-Geräte, die ISRG Root X1 nicht vertrauen, funktionieren voraussichtlich weiterhin normal. Erreicht wird das durch ein spezielles Cross-Sign von DST Root CA X3, das über die Gültigkeit des Stammzertifikats hinaus gültig ist. Diese Ausnahme funktioniert wohl nur für Android.

Was jetzt zu tun ist

Die meisten müssen gar nichts tun! Let’s Encrypt hat seine Zertifikatsausstellung so eingerichtet, dass Websites in den meisten Fällen angepasst reagieren und möglichst viele Browser und Geräte unterstützen. Wird eine API bereitgestellt oder müssen IoT-Geräte (Anm.: IoT = „Internet of things“) unterstützt werden, müssen zwei Dinge beachtet werden:

  1. Alle Clients der API müssen ISRG Root X1 vertrauen (nicht nur DST Root CA X3).
  2. Sollten die Clients der API OpenSSL verwenden, müssen sie Version 1.1.0 oder höher verwenden. Eine Besonderheit in der Zertifikatsüberprüfung von OpenSSL 1.0.x führt dazu, dass selbst Clients, die ISRG Root X1 vertrauen, fehlschlagen, wenn ihnen die Android-kompatible Zertifikatskette vorgelegt wird, die Let’s Encrypt standardmäßig empfiehlt.

Den hier frei übersetzten und angepassten originalen Text finden Sie unter https://letsencrypt.org/de/docs/dst-root-ca-x3-expiration-september-2021/

Beitragsbild von Tumisu auf Pixabay