[ziesell]

Zitat:

TLS: Let's Encrypt will Cross-Signing beenden

Wegen Problemen mit hunderten Millionen von Android-Geräten hatte Let's Encrypt eine Übergangslösung erstellt. Das Ende ist nun in Sicht.



Die kostenlose Zertifizierungsstelle Let's Encrypt hat angekündigt, mittelfristig auf ein sogenanntes Cross-Signing für sein eigenes Root-Zertifikat zu verzichten. Danach will die Zertifizierungsstelle ausschließlich auf sein eigenes Zertifikat (ISRG Root X1) setzen. Dass dieser Schritt trotz der inzwischen extrem weiten Akzeptanz von Let's Encrypt Jahre später als ursprünglich geplant kommt, liegt vor allem an Android.

Bereits vor fast drei Jahren kündigten die Verantwortlichen einen Zertifikatswechsel an, mit dem Ziel, Zwischenzertifikate zu nutzen, die von einem eigenen Root-Zertifikat signiert sind. Damals schätzte das Team jedoch, dass das Probleme für rund ein Drittel aller Android-Smartphones bedeutet hätte. Denn es gab damals immer noch sehr viele ältere Geräte, die dem Root-Zertifikat von Let's Encrypt nicht vertrauten, das bereits 2016 erstmals eingeführt worden ist. Betroffen waren laut dem Blog-Eintrag vor allem Geräte mit Android-Version 7.1.1 oder älter.

Standardmäßig hätte dies dazu geführt, dass Geräte nach dem Wechsel keine vertrauenswürdige Verbindung mehr zu Webseiten oder -diensten hätte aufbauen können, die Let's-Encrypt-Zertifikate nutzen, da diesen nach dem Wechsel nicht mehr vertraut wird. Um derartige Kompatibilitätsprobleme aber zu vermeiden, hat das Team Ende 2020 entschieden, auch das eigene Root-Zertifikat mit einem Cross-Signing durch die Zertifizierungsstelle Identrust ausstatten zu lassen, statt wie zuvor nur die Zwischenzertifikate.

Cross-Signing soll auslaufen

Das Team schreibt nun, dass der Anteil der Android-Geräte, die dem Let's-Encrypt-Zertifikat vertraut, inzwischen bei mehr als 90 Prozent liege. Mit dem in Android 14 integrierten aktualisierbaren Root-Store werde sich dies weiter erhöhen. Durch den Verzicht auf das Cross-Signing könnten die notwendigen Daten beim TLS-Handshake deutlich reduziert werden und die operativen Kosten verringert werden. Das Cross-Signing läuft deshalb am 30. September 2024 aus.

Anfang Februar 2024 sollen Zertifikatsausgaben mit dem Cross-Signing nicht mehr standardmäßig angeboten werden. Ab Juni 2024 soll dies außerdem vollständig beendet werden. Nutzern, die dann auch ab 1. Oktober 2024 noch alte Geräte verwenden, empfiehlt das Team einen Wechsel auf Firefox Mobile, da der Browser über einen eigenen Root-Store verfügt. Webseitenbetreiber sollten auf ihre Zugriffe achten und betreffende Nutzer entsprechend informieren.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]