Let's Encrypt – Viele Vorteile, aber auch ein Problemchen, das man kennen sollte

Let’s Encrypt ist eine freie und offene Zertifizierungsstelle (Certification Authority / CA) für SSL-/TLS-Zertifikate. Dieser Service wird seit 2015 von der gemeinnützigen Internet Security Research Group (ISRG) zur Verfügung gestellt. Anders als bei kommerziellen Zertifizierungsstellen, haben die Let's Encrypt-Zertifikate eine Gültigkeit von aktuell 90 Tagen und können automatisch erneuert werden. Dabei ersetzt ein automatisierter Prozess die sonst erforderlichen manuellen Aktionen bei der Erzeugung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten. Die turnusmäßigen manuellen Erneuerungen von Zertifikaten, so wie es derzeit meist praktiziert wird, ist mit Let's Encrypt nicht mehr notwendig. Einmal sauber eingerichtet, muss man sich um Laufzeiten und Gültigkeit von SSL-Zertifikaten keine Gedanken mehr machen.

Das klingt zunächst einmal durchweg positiv und das ist es auch. Wir bei der Marketing Factory Consulting GmbH setzen Let's Encrypt-Zertifikate bereits seit Jahren und mit steigender Tendenz erfolgreich ein. Nun könnte es aber im kommenden Jahr einen kleinen Wermutstropfen geben, der aber – soviel sei bereits an dieser Stelle verraten - in den allermeisten Fällen wirklich sehr klein sein wird.

Worum geht es? Wenn eine neue Zertifizierungsstelle (CA), wie Let's Encrypt, in den Markt eintritt steht er unweigerlich vor der Herausforderung, dass er nicht von jetzt auf gleich von allen Betriebssystemen und Browsern als vertrauenswürdig akzeptiert wird. Diesem Problem begegnet ein ein neuer CA üblicherweise durch eine Kooperation mit einem etablierten und vertrauenswürdigen CA, der übergangsweise als Fallback dient. Hat sich der neue CA dann im Laufe der Zeit selbst zu einen anerkannten und vertrauenswürdigen CA entwickelt, wird dieser temporäre Workaround obsolet.

Dieser Schritt steht für Let's Encrypt nun an. Ab dem 01. September 2021 wird es die Fallback-Lösung nicht mehr geben und für die Verschlüsselung wird nur noch das Let's Encrypt-eigene RSA-Stammzertifikat herangezogen. Das ist erst einmal auch kein Problem, da sich das Let's Encrypt-Stammzertifikat in den letzten 5 Jahren etabliert hat und von allen gängigen Betriebssystemen und Browsern unterstützt wird. Von allen? Leider nicht ganz und damit wären wir auch schon beim Kern des Problems. Die Let's Encrypt-Zertifikate werden bislang nicht vom Android-Betriebssystem, die älter als Version 7.1.1 sind, akzeptiert. Der Vollständigkeit halber sei erwähnt, dass solche Kompatibilitätsprobleme durchaus auch bei den kommerziellen CAs vorkommen können.

Dass Android ein Problem mit Betriebssystem-Updates hat, ist seit vielen Jahren bekannt. Es gibt sehr viele Android-Geräte da draußen, auf denen veraltete Betriebssysteme laufen. Die Ursachen sind vielfältig und schwer zu beheben. Für jedes Gerät wird das Android-Kernbetriebssystem üblicherweise sowohl vom Hersteller, als auch von einem Mobilfunkanbieter geändert bevor es in den Verkauf geht. Wenn es danach ein Update für Android gibt, müssen sowohl der Hersteller, als auch der Mobilfunkanbieter diese Änderungen in ihre angepasste Version integrieren. Hersteller scheuen jedoch oftmals diese Mühe und verzichten daher lieber auf ein Update. Für den Endkunden bedeutet dies, dass er oft auf Jahre an ein veraltetes Betriebssystem gebunden ist.

Derzeit verwenden in etwa 66% der Android-Geräte Version 7.1 oder höher. Die verbleibenden 34% der Android-Geräte erhalten somit möglicherweise Zertifikatfehler, wenn der Benutzer Websites besucht, die über ein Let's Encrypt-Zertifikat gesichert sind. Bis zur finalen Umstellung im September 2021 wird sich diese Verhältnis sicher noch zu Gunsten der neueren Versionen verbessern, aber auch dann werden noch veraltete Systeme auf dem Markt sein.

Was bedeutet das nun für all jene, die Let's Encrypt-Zertifikate zur Verschlüsselung ihrer Internetpräsenzen einsetzen? Wie ich es bereits weiter oben habe anklingen lassen, halten wir das Problem für vernachlässigbar. Nutzer mit veralteten Betriebssystemen sind in der Regel kleinere Beeinträchtigungen gewohnt. Darüber hinaus vertreten wir die Auffassung, dass ein zu stark rückwärts gewandter Blick einer progressiven Entwicklung im Wege steht. Sollte es dennoch zu vermehrten Beschwerden kommen, bleibt immer noch die Option auf eine alternative Zertifizierungsstelle zu wechseln.

Das Problem ist bekannt und es gibt im Bedarfsfall Lösungen. Das originäre Problem liegt nicht bei Let's Encrypt, sondern bei einigen update-unwilligen Herstellern von Geräten mit Android-Betriebssystemen. Wir empfehlen abzuwarten und zu schauen, ob es zu vermehrten Beschwerden kommt. Erst dann sollte man darüber nachdenken, ob ein Wechsel zu einem alternative CA sinnvoll ist.

Wenn Ihr zum Thema Let's Encrypt oder generell zum Thema Verschlüsselung Fragen habt, so sprecht uns an – wir unterstützen Euch gerne!