Die gemeinnützige Zertifizierungsstelle Let's Encrypt [1] ändert spätestens zum September 2021 ihr bisheriges Root-Zertifikat – und ist damit für ältere Android-Versionen unbekannt und nicht mehr vertrauenswürdig. Während Let's Encrypt seine Zertifikate zu Beginn von der Certificate Authority (CA) IdenTrust gegenzeichnen ließ und damit Betriebssysteme wie Windows, macOS oder auch Android diesen Zertifikaten vertrauen konnten, möchte Let's Encrypt mit dem Ablaufdatum der verwendeten Cross-Signature im kommenden September auf eigenen Beinen stehen.

Hierfür signiert Let's Encrypt ab nächstem Jahr alle Zertifikate selbst. Für neuere Betriebssysteme und Programme ist dies kein Problem, denn sie kennen und vertrauen auch Let's Encrypt. Ältere Systeme wie Android 7.1.1 und älter hingegen kennen die CA nicht und warnen beim Besuch entsprechend verschlüsselter Webseiten. Seitenbetreiber können ab 11. Januar 2021 zumindest eine angepasste API nutzen, um bestimmte Clients bei Bedarf noch auf das bis September 2021 gültige, ursprüngliche Root-Zertifikat umzuleiten. Nutzer älterer Android-Versionen können derweil den Browser Firefox verwenden, der seinen eigenen Zertifikats-Store mitbringt und Let's Encrypt vertraut.


dr

[1] https://letsencrypt.org/2020/11/06/own-two-feet.html