Eine Warnung der freien Zertifizierungsstelle Let's Encrypt sorgte Anfang November für einiges Aufsehen. Bereits ab dem 11. Jänner könnten bis zu einem Drittel aller aktuell genutzten Android-Geräte Probleme beim Zugriff auf zahlreiche Webseiten bekommen, hieß es damals. Nun kommt aber doch alles anders.

Die Problematik

Doch der Reihe nach: Das Problem entspringt daraus, dass Let's Encrypt bislang bei der Ausstellung seiner für verschlüsselte Verbindungen viel genutzten Zertifikate ein sogenanntes "Cross Signing" mit einer anderen Zeritifizierungsstelle vornimmt – jener des Anbieters Identrust. Schon vor einigen Monaten hatte Let's Encrypt aber angekündigt, dass man diese Abhängigkeit von einem anderen Anbieter loswerden und künftig von Haus aus nur mehr das eigene Root-Zertifikat verwenden wolle.

Das Problem dabei: Diesem Root-Zertifikat von Let's Encrypt wird erst in neueren Android-Versionen vertraut. Das führt wiederum dazu, dass beim Besuch von HTTPS-verschlüsselten Webseiten, die ein solches neues Let's-Encrypt Zertifikat – also ohne Identrust-Verbindung – verwenden, künftig alte Geräte eine Sicherheitswarnung liefern würden. Konkret geht es dabei um Android-Devices mit der Version 7.1.1 oder älter. Die Popularität von Let's Encrypt führt dann wiederum dazu, dass dies viele Webseiten betrifft, konkret spricht man von rund 220 Millionen Domains.

Die Lösung

Angesichts der Tragweite des Problems hat man sich bei Let's Encrypt nun aber zu einer Kurskorrektur entschlossen. So wird das Cross-Signing für einen Zeitraum von drei Jahren wieder aufgenommen. Das sollte eigentlich gar nicht möglich sein, weil das betreffende Zertifikat von Identrust ("DST Root X3") abläuft, aber wie sich zeigt, überprüft Android das Ablaufdatum in diesem Fall gar nicht. Als neues Enddatum hat man nun den August 2024 festgelegt, bis dorthin sollten solch alte Android-Geräte kaum mehr eine Rolle spielen.

Das Problem zeigt auch gut die Update-Problematik in der Android-Welt auf. Kann doch die Liste der vertrauenswürdigen Root-Zertifikate nur über Systemaktualisierungen erneuert werden. Liefert der Hersteller aber keine Updates mehr, hat man eben ein Problem. (apo, 23.12.2020)