Let's-Encrypt-Zertifikate: Ruckler am 30. September möglich

Wer Server mit Let's-Encrypt-Zertifikaten betreibt, sollte diese Woche einen Blick darauf haben: Alte Clients könnten die Verbindung verlieren.

In Pocket speichern vorlesen Druckansicht 100 Kommentare lesen

(Bild: Let's Encrypt)

Lesezeit: 3 Min.

Am Donnerstag kommender Woche verliert das alte Root-Zertifikat von Let's Encrypt (LE) seine Gültigkeit. LE bestätigt als Zertifizierungsstelle (Certificate Authority, CA) selbst erzeugte Zertifikate von Serverbetreibern. So können Anwendungen auf vielen Client-Typen – PCs, Tablets, Smartphones, Internet-of-Things-Geräte – eine kryptografisch gesicherte Verbindung aufbauen, um beispielsweise auf einen eigenen Cloudserver zuzugreifen. Das geschieht meistens per HTTPS, aber auch über TLS-gesicherte Mailprotokolle wie IMAP oder SMTP.

Zum Signieren der Kundenzertifikate nutzt Let's Encrypt das Zwischenzertifikat (Intermediate) R3. Dessen Gültigkeit können die Clients mit dem in ihrem Speicher hinterlegten Root-Zertifikat DST Root CA X3 prüfen. Das alte Intermediate R3 läuft am 29.9.2021 um 19:21:40 (GMT) ab, DST Root CA X3 knapp einen Tag später (30.9.2021 14:01:15 GMT). Spätestens ab diesem Zeitpunkt können Clients, die nur das alte Root-Zertifikat kennen, keine Serverzertifikate mehr verifizieren und bauen keine TLS-gesicherte Verbindung mehr auf. Beispielsweise bei Internet-of-Things-Geräten hängt es von deren Programmierung ab, ob sie dann überhaupt noch funktionieren. Das könnte etwa Gadgets mit einer älteren OpenSSL-Bibliothek in der Firmware treffen.

Let's Encrypt hat zwar das neue Root-Zertifikat ISRG Root X1 eingeführt, aber dieses ist nicht in allen Clients hinterlegt. Es fehlt wahrscheinlich in älteren Geräten, die lange kein Firmware- oder Software-Update mehr bekommen haben. Als bekannt inkompatibel nennt Let's Encrypt unter anderem Blackberry vor 10.3.3, Android vor 2.3.6, Nintendo 3DS, Sony PS3 sowie PS4 vor Firmware 5.00. Keine Probleme bekommen sollen Geräte ab Windows XP/SP3, Android ab 7.1.1, macOS ab 10.12.1, iOS ab 10, Ubuntu ab 16.04, Debian ab Jessie sowie Java 7 ab 7u151 und Java 8 ab 8u141. Firefox hat seit Version 50 das neue Root-Zertifikat an Bord.

Von Let's Encrypt signierte Serverzertifikate sollten aktuell zwei Pfade enthalten: Der eine endet beim Root-Zertifikat ISRG Root X1, der andere beim bald ablaufenden DST Root CA X3.

Wer sichergehen will, dass der eigene Server korrekt auf den Wechsel eingerichtet ist, kann den SSL Server Test der SSL Labs nutzen. Der zeigt zum eigenen Serverzertifikat unter "Additional Certificates" an, mit welchem Intermediate- und Root-Zertifikat es unterschrieben ist. Deren Ablaufdaten sollten deutlich nach September 2021 liegen, aktuell Mitte September 2025 (Intermediate R3) beziehungsweise Ende September 2024 (ISRG Root X1). Beim Ausklappen von "Certification Paths" sollten zwei Pfade erscheinen: Der erste endet bei ISRG Root X1, der zweite beim bald auslaufenden DST Root CA X3. Fehlt der erste Pfad, sollte man das alte Zertifikat löschen und über die bei Let's Encrypt beschriebenen Wege ein neues anfordern. Wegen der vergleichsweise kurzen Gültigkeitsdauer der LE-Zertifikate von drei Monaten dürfte das in der Praxis nicht vorkommen.

(ea)