Eigentlich wollte die kostenlose Zertifizierungsstelle Let’s Encrypt ja auf Zwischenzertifikate wechseln, die mit einem eigenen Root-Zertifikat signiert sind. Bisher nutzte Let’s Encrypt das sogenanntes Cross-Signing mit der Zertifizierungsstelle Identrust.

In Zukunft soll darüber hinaus auch das neue eigene Root-Zertifikat mit einem Cross-Signing versehen werden, teilt das Team von Let’s Encrypt nun mit. So sollen Millionen älterer Android-Smartphones vor Kompatibilitätsproblemen geschützt werden.

Noch vor wenigen Monaten hatten die Beteiligten davor gewarnt, dass der geplante Wechsel Probleme für ca. ein Drittel aller noch genutzten Android-Smartphones bringen könnte.

Alte Smartphones erzwingen neue Wege

Es gibt nämlich immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let’s Encrypt nicht vertrauen, das schon 2016 eingeführt wurde. Nach dem Blog-Eintrag sind vor allem Geräte mit Android-Version 7.1.1 oder älter davon betroffen.

Das würde dazu führen, dass Geräte nach dem bisher geplanten Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten aufbauen können, die Let’s-Encrypt-Zertifikate nutzen, weil diesen nach dem Wechsel nicht mehr vertraut wird. Insgesamt handelt es sich um ca. 220 Millionen Domains.

Die jetzt zusätzlich geplante erneute Cross-Signatur soll drei Jahre lang gültig sein, also sogar über die eigentliche Gültigkeit des Root-Zertifikats von Identrust hinaus. Das klingt ungewöhnlich, aber möglich, denn Android prüft das Ablaufdatum von Zertifikaten absichtlich nicht.

In drei Jahren ist dann Schluss damit

Dies Verhalten nutzt jetzt Let’s Encrypt, um weiter für eine große Kompatibilität auch mit alten Geräten sorgen zu können. Nach dem Ablauf der drei Jahre Anfang 2024 soll dann der eigentlich schon für 2021 gefasste Plan umgesetzt werden, ausschließlich auf das eigene Root-Zertifikat zu setzen.

Beim Erstellen der Zertifikate für eigene Webseiten soll dann aber auch weiterhin die Auswahl, ob diese das alte und eigentliche abgelaufene Root-Zertifikat als Ursprung der Zertifikatskette nutzen sollen, verfügbar sein.