Die folgende Information erreichte uns heute von Let’s Encrypt. Diese technische Informationen sind für alle Webseiten und Applikationen wichtig, welche mit älteren Geräten auf Websites oder Applikationen zugreifen oder mit API’s arbeiten.
DST Root CA X3 Ablauf (September 2021)
Am 30. September 2021 wird es eine kleine Änderung in der Art und Weise geben, wie ältere Browser und Geräte Let’s Encrypt-Zertifikaten vertrauen. Wenn Sie eine typische Website betreiben, werden Sie keinen Unterschied bemerken – die überwiegende Mehrheit Ihrer Besucher wird Ihr Let’s Encrypt-Zertifikat weiterhin akzeptieren. Wenn Sie eine API bereitstellen oder IoT-Geräte unterstützen müssen, müssen Sie möglicherweise etwas mehr auf die Änderung achten.
Let’s Encrypt hat ein „Root-Zertifikat“ namens ISRG Root X1. Moderne Browser und Geräte vertrauen dem auf Ihrer Website installierten Let’s Encrypt-Zertifikat, da sie ISRG Root X1 in ihre Liste der Stammzertifikate aufnehmen. Um sicherzustellen, dass die von uns ausgestellten Zertifikate auf älteren Geräten vertrauenswürdig sind, haben wir auch eine „Kreuzsignatur“ von einem älteren Stammzertifikat: DST Root CA X3.
Als wir anfingen, half uns dieses ältere Stammzertifikat (DST Root CA X3), auf den Weg zu kommen und von fast jedem Gerät sofort vertraut zu werden. Das neuere Root-Zertifikat (ISRG Root X1) ist jetzt auch weit verbreitet – aber einige ältere Geräte werden ihm nie vertrauen, weil sie keine Software-Updates erhalten (z.B. ein iPhone 4 oder ein HTC Dream). Klicken Sie hier für eine Liste der Plattformen, denen ISRG Root X1 vertrauen.
DST Root CA X3 läuft am 30. September 2021 ab. Das bedeutet, dass ältere Geräte, die ISRG Root X1 nicht vertrauen, beim Besuch von Websites, die Let’s Encrypt-Zertifikate verwenden, Zertifikatwarnungen erhalten. Es gibt eine wichtige Ausnahme: Ältere Android-Geräte, die ISRG Root X1 nicht vertrauen, werden weiterhin mit Let’s Encrypt arbeiten, dank eines speziellen Cross-Signs von DST Root CA X3, das über den Ablauf dieses Root hinausgeht. Diese Ausnahme funktioniert nur für Android.
Was sollten Sie tun? Für die meisten Menschen überhaupt nichts! Wir haben unsere Zertifikatsausstellung so eingerichtet, dass Ihre Website in den meisten Fällen das Richtige tut und eine breite Kompatibilität begünstigt. Wenn Sie eine API bereitstellen oder IoT-Geräte unterstützen müssen, müssen Sie auf zwei Dinge achten: (1) Alle Clients Ihrer API müssen ISRG Root X1 vertrauen (nicht nur DST Root CA X3) und (2) wenn Clients Ihrer API OpenSSL verwenden, müssen sie Version 1.1.0 oder höher verwenden. In OpenSSL 1.0.x bedeutet eine Eigenart bei der Zertifikatüberprüfung, dass selbst Clients, die ISRG Root X1 vertrauen, fehlschlagen, wenn sie standardmäßig die von uns empfohlene Android-kompatible Zertifikatkette erhalten.
Wenn Sie weitere Informationen über unsere laufenden Änderungen in der Produktionskette wünschen, schauen Sie sich bitte diesen Thread in unserer Community an.
Wenn Sie Fragen zum bevorstehenden Ablauf haben, posten Sie bitte in diesem Thread in unserem Forum.
Info Let’y Encrypt