Wer auf seinen Servern die kostenlosen Zertifikate Let’s Encrypt benutzt, sollte ab Donnerstag nächster Woche genau hinschauen, denn ältere Clients könnten die Verbindung verlieren, denn am kommenden Donnerstag verliert das alte Root-Zertifikat von Let’s Encrypt (LE) seine Gültigkeit.
LE bestätigt als Zertifizierungsstelle (Certificate Authority, CA) selbst erzeugte Zertifikate auf vielen Servern. Damit können Anwendungen auf vielen Clients von PCs über Tablets und Smartphones bis hin zu Internet-of-Things-Geräten eine kryptografisch gesicherte Verbindung aufbauen. Das passiert meist über HTTPS, aber auch über TLS-gesicherte Mailprotokolle wie IMAP oder SMTP.
Let’s Encrypt benutzt zum Signieren der Kundenzertifikate das Zwischenzertifikat (Intermediate) R3, essen Gültigkeit die Clients mit dem in ihrem Speicher hinterlegten Root-Zertifikat DST Root CA X3 prüfen können.
Zertifikate laufen am 29. Und 30. September aus
Das alte Intermediate R3 läuft schon am 29.9.2021 um 19:21:40 (GMT) ab, und DST Root CA X3 knapp einen Tag später (30.9.2021 14:01:15 GMT). Spätestens ab diesem Zeitpunkt Clients, die nur das alte Root-Zertifikat kennen, keine Serverzertifikate mehr verifizieren und bauen deshalb keine TLS-gesicherte Verbindung mehr auf.
Bei Internet-of-Things-Geräten hängt es von deren Programmierung ab, ob diese dann generell noch funktionieren.
Viele Clients kennen die neuen Zertifikate nicht
Zwar hat Let’s Encrypt sein neues Root-Zertifikat ISRG Root X1 schon eingeführt, aber leider ist es noch nicht in allen Clients hinterlegt. Es fehlt meist in älteren Geräten, die längere Zeit kein Firmware- oder Software-Update mehr bekamen.
Unter anderem bekannt inkompatibel nennt Let’s Encrypt Blackberry vor 10.3.3, Android vor 2.3.6, Nintendo 3DS, Sony PS3 sowie PS4 vor Firmware 5.00.
Geräte ab Windows XP/SP3, Android ab 7.1.1, macOS ab 10.12.1, iOS ab 10, Ubuntu ab 16.04, Debian ab Jessie sowie Java 7 ab 7u151 und Java 8 ab 8u141 sollten durch den Zertifikatswechsel eher keine Probleme bekommen. Auch Mozillas Browser Firefox kennt das neue Root-Zertifikat seit der Version 50.