Heads-up: Letsencrypt ab 11.01.2021 mit eigenem Root Certificate

SolarCatcher

Well-Known Member
Ab dem 11.01. könnten viele Nutzer alter Android-Versionen (unter 7.1.1), evtl. auch Nutzer anderer alter OSse und Software, Probleme mit Letsencrypt-Zertifikaten bekommen. Noch bis September 2021 gibt es die Möglichkeit, Letsencrypt-Zertifkate mit einem allgemein akzeptierten Root Certificate zu bekommen. Dazu muss man die preferred-chain DST Root X3 verwenden, wenn das der genutzte ACME client vorsieht.

In acme.sh und certbot kann man das beim Aufruf anhängen, andere Clients weiß ich nicht:
--preferred-chain "DST Root X3"

Ansonsten wird automatisch das neue Root Certificate ISRG Root X1 verwendet. Hier hat Simon Hearne Abschätzungen gemacht, welcher Anteil von Web-Usern in verschiedenen Ländern dann Letsencrypt-gesicherte Seiten als unsicher angezeigt bekommt (bzw. bei Verwendung von HSTS komplett ausgesperrt bleibt): The Impact of Let's Encrypt Changes on Android Users
 

medV2

Well-Known Member
Selbst 7.1.1 bekommt schon seit über einem Jahr keine Securityupdates mehr - Dank der trägen Handyhersteller effektiv wohl schon länger nicht mehr. Solche User sollte man getrost aus dem Internet aussperren und nicht immer Rücksicht nehmen.

Ich werde auf jedenfall am Jänner auf neue root Zertifikat wechseln ,mal sehen ob ich das auch in der Firma durchbekomme.
 

datasmurf

Well-Known Member
Der Workaround durch Installation von FF Mobil wird ebenfalls in dem Blogartikel beschrieben und ist auch auf der LE Webseite[1] nachzulesen.

Warum hilft die Installation von Firefox? Für den integrierten Browser eines Android-Telefons stammt die Liste der vertrauenswürdigen Stammzertifikate aus dem Betriebssystem - das bei diesen älteren Telefonen veraltet ist. Allerdings ist Firefox derzeit einzigartig unter den Browsern - er wird mit einer eigenen Liste von vertrauenswürdigen Stammzertifikaten ausgeliefert. Wer also die neueste Version von Firefox installiert, kommt in den Genuss einer aktuellen Liste vertrauenswürdiger Zertifizierungsstellen, selbst wenn sein Betriebssystem veraltet ist.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

[1] https://letsencrypt.org/2020/11/06/own-two-feet.html#if-you-use-an-older-version-of-android
 

SolarCatcher

Well-Known Member
@medV2 Das sehe ich etwas differenzierter: Ich betreue auch einige Websites von Dritten und bevor ich entscheide, bestimmte Leser auszuschließen, müsste ich die Vor- und Nachteile mit meinem Kunden diskutieren. Denn sicher kommen dann nach dem 11.01. Rückfragen à la "Wir haben da einen Leser, der sagt, er komme nicht mehr auf unsere Seiten...". Vor ca. 1 Jahr musste ich einmal die verwendeten Cipher-Suites etwas lockern, weil eine Mitarbeiterin des Kunden noch ein Android 2.x (!) nutzte, was die stärkere Verschlüsselung nicht beherrschte. War hier kein großes Problem, weil es sich um ein Informationsportal handelt, bei dem nirgendwo sensitive Daten wie Kreditkarten u.ä. abgefragt werden. Und durch Vorgabe der Cipher-Präferenz bekommt jeder modernere Browser ohnehin die best-mögliche Verschlüsselung (bis hin zu TLS 1.3).

@datasmurf Ja, Firefox ist eine Lösung und die werde ich auch empfehlen (zumal es mein primärer Browser, auch auf Android ist). Aber das löst das Problem nur teilweise: Erstmalige Besucher kann ich ja gar nicht erreichen, weil sie nicht auf die Seite kommen (HSTS erzwingt HTTPS mit einem als vertrauenswürdig anerkannten Root Zertifikat). Wir können nur vorab bestehende Leser informieren. Oder über andere Kanäle wie Twitter - aber nicht jeder Besucher geht auf Twitter um nachzuschauen, warum die Seite nicht lädt. Er bekommt ja nur den Hinweis, dass die Seite nicht vertrauenswürdig ist. Bei dem technisch nicht versierten Leser stehen dann wir blöd da (die anderen nutzen je eh aktuellere Software und haben das Problem nicht).
 
Oben