Wer Server mit den kostenlosen Zertifikaten von Let’s-Encrypt betreibt, sollte ab Donnerstag nächster Woche ein Auge darauf haben, denn ältere Clients könnten die Verbindung verlieren.

Der Grund: Am kommenden Donnerstag verliert das alte Root-Zertifikat von Let’s Encrypt (LE) seine Gültigkeit. LE bestätigt als Zertifizierungsstelle (Certificate Authority, CA) selbst erzeugte Zertifikate auf vielen Servern. Dadurch können Anwendungen auf vielen Clients wie PCs, Tablets, Smartphones, Internet-of-Things-Geräten eine kryptografisch gesicherte Verbindung aufbauen. Das geschieht meist über HTTPS, aber auch über TLS-gesicherte Mailprotokolle (IMAP oder SMTP).

Let’s Encrypt benutzt zum Signieren der Kundenzertifikate das Zwischenzertifikat (Intermediate) R3, essen Gültigkeit die Clients mit dem in ihrem Speicher hinterlegten Root-Zertifikat DST Root CA X3 prüfen können.

Die Zertifikate laufen am 29. Und 30. September aus

Das alte Intermediate R3 läuft am 29.9.2021 um 19:21:40 (GMT) ab, DST Root CA X3 knapp einen Tag später (30.9.2021 14:01:15 GMT). Spätestens ab diesem Zeitpunkt können Clients, die nur das alte Root-Zertifikat kennen, keine Serverzertifikate mehr verifizieren und bauen keine TLS-gesicherte Verbindung mehr auf.

Bei Internet-of-Things-Geräten ist es von deren Programmierung abhängig, ob sie dann generell noch funktionieren.

Inkompatible Clients kennen die neuen Zertifikate nicht

Zwar hat Let’s Encrypt sein neues Root-Zertifikat ISRG Root X1 eingeführt, aber leider ist das noch nicht in allen Clients hinterlegt. Es fehlt vermutlich in älteren Geräten, die lange kein Firmware- oder Software-Update mehr hatten.

Unter anderem als bekannt inkompatibel nennt Let’s Encrypt  Blackberry vor 10.3.3, Android vor 2.3.6, Nintendo 3DS, Sony PS3 sowie PS4 vor Firmware 5.00.

Geräte ab Windows XP/SP3, Android ab 7.1.1, macOS ab 10.12.1, iOS ab 10, Ubuntu ab 16.04, Debian ab Jessie sowie Java 7 ab 7u151 und Java 8 ab 8u141 sollen eher keine Probleme bekommen. Auch der Browser Firefox kennt das neue Root-Zertifikat seit der Version 50.

Bild: Let’s Encrypt