SolarCatcher
Well-Known Member
Ab dem 11.01. könnten viele Nutzer alter Android-Versionen (unter 7.1.1), evtl. auch Nutzer anderer alter OSse und Software, Probleme mit Letsencrypt-Zertifikaten bekommen. Noch bis September 2021 gibt es die Möglichkeit, Letsencrypt-Zertifkate mit einem allgemein akzeptierten Root Certificate zu bekommen. Dazu muss man die preferred-chain
In acme.sh und certbot kann man das beim Aufruf anhängen, andere Clients weiß ich nicht:
Ansonsten wird automatisch das neue Root Certificate ISRG Root X1 verwendet. Hier hat Simon Hearne Abschätzungen gemacht, welcher Anteil von Web-Usern in verschiedenen Ländern dann Letsencrypt-gesicherte Seiten als unsicher angezeigt bekommt (bzw. bei Verwendung von HSTS komplett ausgesperrt bleibt): The Impact of Let's Encrypt Changes on Android Users
DST Root X3
verwenden, wenn das der genutzte ACME client vorsieht.In acme.sh und certbot kann man das beim Aufruf anhängen, andere Clients weiß ich nicht:
--preferred-chain "DST Root X3"
Ansonsten wird automatisch das neue Root Certificate ISRG Root X1 verwendet. Hier hat Simon Hearne Abschätzungen gemacht, welcher Anteil von Web-Usern in verschiedenen Ländern dann Letsencrypt-gesicherte Seiten als unsicher angezeigt bekommt (bzw. bei Verwendung von HSTS komplett ausgesperrt bleibt): The Impact of Let's Encrypt Changes on Android Users