Let’s Encrypt: ISRG Root X1 und das Ende der Quersignierung
Hier finden Sie wichtige Informationen zu der von Let’s Encrypt geplanten Umstellung von "DST Root X3" auf "ISRG Root X1" und welche Konsequenzen sich daraus für Sie ergeben könnten.
Wir bieten unseren Kundinnen und Kunden die Möglichkeit, TLS-Zertifikate von Let’s Encrypt zu verwenden, um ihre Websites und Onlineshops verschlüsselt über HTTPS bereitzustellen.
Let’s Encrypt verfügt mit “ISRG Root X1” über ein eigenes Root-Zertifikat. Der öffentliche Schlüssel (“public key”) von Root-Zertifikaten wird in der Regel als Teil des Betriebssystems ausgeliefert. Zusammen mit einem (oder mehreren) geeigneten Zwischenzertifikat (“intermediate certificate”) wird die Kette des Vertrauens (“chain of trust”) zum jeweiligen Zertifikat einer Website hergestellt. So kann die Authentizität verifizieren werden und eine Verbindung ist nicht nur verschlüsselt, sondern gilt auch als sicher vor Veränderungen durch Dritte.
Zum Start von Let’s Encrypt als Zertifizierungsstelle (“certificate authority”, kurz CA) war der öffentliche Schlüssel des Root-Zertifikats “ISRG Root X1” den verschiedenen Betriebssystemen noch nicht bekannt. Dies geschah erst im Laufe der Zeit durch Updates und neue Versionen.
Damit Zertifikate von Let’s Encrypt direkt sinnvoll verwendet werden konnten und nicht zu einem Fehler im Browser führten, wurde eine sogenannte Quersignierung (“cross signing”) angewendet. Neben einem Zwischenzertifikat, welches die Verbindung zum Let’s Encrypt Root-Zertifikat “ISRG Root X3” herstellt, gibt es ein weiteres. Dieses wurde durch den Anbieter IdenTrust mit seinem eigenen Root-Zertifikat “DST Root X3” signiert.
“DST Root X3” ist jedoch nur noch bis zum 01. September 2021 gültig. Ab diesem Zeitpunkt werden Browser eine Warnung anzeigen, da keine “chain of trust” zu einem gültigen Root-Zertifikat mehr hergestellt werden kann.
Durch die Verwendung eines Zwischenzertifikates, welches durch “ISRG Root X1” signiert ist, können bestehende Let’s Encrypt-Zertifikate weiter genutzt werden. Diese haben ohnehin nur eine Laufzeit von drei Monaten und werden regelmäßig und automatisch ersetzt.
Let’s Encrypt plant ab dem 11. Januar 2021 entsprechende Zwischenzertifikate standardmäßig auszuliefern. Grundsätzlich wäre diese Änderung unproblematisch, denn alle relevanten Betriebssysteme erkennen “ISRG Root X1” mittlerweile.
Problematisch ist dies allerdings in Bezug auf Android. Durch die hohe Fragmentierung verwenden nach aktuellen Statistiken noch ~30% der Nutzer eine alte Android-Version, die das Zertifikat nicht kennt und auch keine Updates mehr erhält. Betroffen sind alle Versionen von Android bis zur Version 7.1.0.
Übergangsweise besteht die Möglichkeit, das bisherige Zwischenzertifikat weiterzunutzen. Diese Option aktivieren wir für unsere Kundinnen und Kunden standardmäßig. Über das Managed Center kann diese Option deaktiviert werden.
Wir gehen davon aus, dass zusammen mit allen Zertifikaten, die ab dem 01. Juni 2021 ausgestellt werden, das mittels “ISRG Root X1” signierte Zwischenzertifikat verwendet wird.
Die Auswirkungen auf die eigenen Nutzer und Kundinnen und Kunden werden für jede Shop- und Websitebetreiber:innen individuell und davon abhängig sein, wie viele der eigenen Nutzer jeweils ein Smartphone mit einer alten Version von Android einsetzen.
Eine mögliche Alternative für diese Nutzer kann die Verwendung des Firefox-Browsers darstellen. Dieser setzt nicht auf die vom Betriebssystem bereitgestellten Root-Zertifikate, sondern bringt seinen eigenen “root store” mit. Somit ist eine Unterstützung von “ISRG Root X1” auch unter Android 7.1 und älter möglich.
Als Websitebetreiber:in besteht weiterhin die Option, auf ein Zertifikat einer anderen Zertifizierungsstelle zu wechseln. Die Kompatibilität können Sie im Einzelnen der Beschreibung des jeweiligen Anbieters entnehmen. Auch hierbei kann es jedoch dazu kommen, dass verwendete Root-Zertifikate auslaufen und eine Unterstützung von Android 7.1 und älter entfällt.
Weitere Details zu den Hintergründen der geplanten Umstellung seitens Let’s Encrypt können diesem Blog-Beitrag entnommen werden.
Sie haben weitere Fragen?
Wie üblich steht Ihnen unser Support 24/7/365 zur Verfügung. Rufen Sie uns einfach an oder schreiben Sie uns eine Email, wir melden uns so schnell wie möglich bei Ihnen zurück!