Seit Let’s Encrypt 2015 an den Start gegangen ist und kostenlose Zertifikate für Websites anbietet, nutzen immer mehr Website-Betreiber den Service. Auch viele Hoster bieten inzwischen ein vorinstalliertes Let’s Encrypt-Zertifikat mit dem Webspace an. Jetzt wäre es beinahe dazu gekommen, dass eine bestimmte Usergruppe Probleme mit dem Zertifikat bekommen hätte – doch glücklicherweise lenkte man beim Unternehmen ein!
Was dahinter steckt? Browser und Betriebssysteme vertrauen Root-Zertifikaten (auch als Root-CA bezeichnet). Diese Zertifikate sind oftmals 20 oder sogar 20 Jahre gültig und mit ihrer Hilfe werden so genannte Zwischenzertifikate (Intermediate certificate) ausgestellt. Let’s Encrypt hatte nun geplant ab Januar 2021 ein neues Root-Zertifikat (genau gesagt das ISRG Root X1) zu nutzen. Bisher hat man dort auch noch von IdenTrust signierte Zwischenzertifikate genutzt, die zum genannten Zeitraum wegfallen sollten. Das Problem dabei ist, dass nicht jeder Browser bzw. nicht jedes Betriebssystem dem ISRG Root X1 vertraut!
Wer Android in der Version 7.1 oder älter benutzt, hätte mit dem Wechsel auf das neue Root-CA ein Problem. Denn dort gilt das Zertifikat als nicht vertrauenswürdig und User bekommen die Fehlermeldung, dass keine sichere Verbindung besteht. Diese Fehlermeldung wird dann vor dem Aufruf einer Seite mit dementsprechenden Zertifikat ausgespielt und sorgt dann wohl in den meisten Fällen dafür, dass der Nutzer die Seite sofort verlässt, anstatt über eine versteckte Auswahl die scheinbar unsichere Seite aufzurufen. Das hätte für viele Websites in den Traffic-Zahlen spürbar sein können und im schlechtesten Fall das Vertrauen in die Marke beschädigen.
Damit es nicht soweit kommt, hat man bei Let’s Encrypt jetzt die Pläne geändert. Zunächst wird es überhaupt keine Veränderungen geben und später gibt es dann eine Cross-Signature, so dass das Betriebssystem Android in der Version 7.1 und älter das Zertifikat ISRG Root X1 als Zwischenzertifikat statt Root-Zertifikat angesehen wird. Diese Signatur soll für die nächsten drei Jahre gültig sein. So gibt es für die Android-Nutzer keine Probleme und Website-Betreiber müssen nicht um ihren Traffic bangen.