Zur Startseite

Probleme mit Let's-Encrypt-Zertifikaten auf älteren Geräten

30. Sep. 2021 14:01:15 GMT Ablauf des Stammzertifikats IdenTrust DST Root CA X3

Let's Encrypt ist eine gemeinnützige Zertifizierungsstelle, die kostenlose X.509-Zertifikate für TLS-Verschlüsselung über einen automatisierten Prozess bereitstellt. Dieser wurde entwickelt, um den aktuellen komplexen Prozess der manuellen Erstellung, Prüfung, Signierung, Installation und Erneuerung von Zertifikaten für sichere Websites zu ersetzen.

Infolge des Ablaufs des Stammzertifikats DST Root CA X3 vertrauen veraltete Geräte, die seit Langem keine Updates erhalten haben und das neue Stammzertifikat ISRG Root X1 nicht unterstützen, dem alten Zertifikat nicht mehr. Beim Besuch von Websites, die Zertifikate von Let's Encrypt verwenden, zeigen sie Warnungen an oder können keine sichere Verbindung herstellen.

Als veraltet gelten Geräte und Betriebssysteme, die älter als 5 Jahre sind, darunter:

  • Windows XP bis SP3 (sowie SP3 und Windows 7, wenn Stammzertifikate nicht automatisch erneuert wurden).
  • macOS vor 10.12.1.
  • iOS bis 10.
  • Android bis 2.3.6 (der Zugriff auf Dienste kann aufgrund der Besonderheiten der Stammzertifikatsprüfung dennoch möglich sein; Versionen bis 7.1.1 werden das Zertifikat ab 2024 nicht mehr unterstützen).
  • Ubuntu vor 16.04.
  • Debian vor 8.
  • Sony PlayStation 3 und 4 mit Firmware bis 5.00.
  • Ältere Smart-TVs und Smart-Home-Geräte.
  • Geräte mit OpenSSL Version 1.0.x.

Die beste Lösung ist ein Update der Software auf die neuesten Versionen, die bereits Unterstützung für das neue Stammzertifikat mitbringen. Maßnahmen zur Problembehebung sind nur dann sinnvoll, wenn dies wirklich erforderlich ist – etwa wenn ein erheblicher Teil der Nutzerschaft veraltete Software verwendet und diese für das Projekt kritisch sind.

Auf der Client-Seite können Sie:

  • Das Stammzertifikat ISRG Root X1 manuell installieren, falls es im Zertifikatsspeicher des verwendeten Systems oder der Software nicht vorhanden ist.
  • Das veraltete Stammzertifikat DST Root CA X3 entfernen. Ein veraltetes Stammzertifikat kann den normalen Betrieb von Diensten beeinträchtigen, die Let's Encrypt-Zertifikate verwenden.

Achtung! Auf manchen Geräten lässt sich das Problem auf diese Weise nicht lösen.

Windows 7

In Windows 7 sollte die Stammzertifikatskette automatisch aktualisiert werden, sofern Betriebssystem-Updates aktiviert sind. Andernfalls muss das Stammzertifikat manuell installiert werden:

Laden Sie das Stammzertifikat ISRG Root X1 von der Website von Let's Encrypt im Format der herunter. Führen Sie die heruntergeladene Datei aus und erlauben Sie das Öffnen mit einem Klick auf Öffnen. Klicken Sie im angezeigten Fenster auf Zertifikat installieren:

file

file

Wählen Sie aus, für wen das Zertifikat installiert werden soll, und klicken Sie auf Weiter. Wählen Sie die Option Alle Zertifikate in folgendem Speicher speichern und klicken Sie auf Durchsuchen:

file

file

Wählen Sie den Speicher Vertrauenswürdige Stammzertifizierungsstellen und klicken Sie auf OK:

file

file

Klicken Sie auf Weiter, überprüfen Sie die Korrektheit der ausgewählten Daten und klicken Sie auf Fertigstellen.

Debian/Ubuntu

  • Um zu prüfen, ob das Stammzertifikat in der Liste der vertrauenswürdigen Zertifikate enthalten ist, führen Sie im Terminal folgenden Befehl aus:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-certificates.crt | grep "ISRG Root X1"
  • Wenn die Ausgabe des Befehls subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1 anzeigt, sind keine weiteren Maßnahmen erforderlich. Andernfalls führen Sie folgenden Befehl aus:
curl -k https://letsencrypt.org/certs/isrgrootx1.pem.txt | sudo tee /usr/share/ca-certificates/mozilla/ISRG_Root_X1.crt ; sudo echo "mozilla/ISRG_Root_X1.crt" >> /etc/ca-certificates.conf ; sudo update-ca-certificates

Überprüfen Sie anschließend die Funktionsfähigkeit der Dienste, bei denen Zugriffsprobleme aufgetreten sind.

CentOS

  • Um zu prüfen, ob das Stammzertifikat in der Liste der vertrauenswürdigen Zertifikate enthalten ist, führen Sie im Terminal folgenden Befehl aus:
awk -v cmd='openssl x509 -noout -subject' ' /BEGIN/{close(cmd)};{print | cmd}' < /etc/ssl/certs/ca-bundle.crt | grep "ISRG Root X1"
  • Wenn die Ausgabe des Befehls subject=C = US, O = Internet Security Research Group, CN = ISRG Root X1 anzeigt, sind keine weiteren Maßnahmen erforderlich. Andernfalls führen Sie folgenden Befehl aus:
trust dump --filter "pkcs11:id=%c4%a7%b1%a4%7b%2c%71%fa%db%e1%4b%90%75%ff%c4%15%60%85%89%10" | openssl x509 | sudo tee /etc/pki/ca-trust/source/blacklist/DST-Root-CA-X3.pem
sudo update-ca-trust

Überprüfen Sie anschließend die Funktionsfähigkeit der Dienste, bei denen Zugriffsprobleme aufgetreten sind.

OpenSSL 1.0.x

  • Wenn das System eine veraltete Version von OpenSSL verwendet, muss das veraltete Stammzertifikat wie folgt aus den vertrauenswürdigen Stammzertifikaten entfernt werden: Bearbeiten Sie für Debian/Ubuntu die Datei /etc/ca-certificates.conf, indem Sie das Zeichen ! an den Anfang der Zeile mozilla/DST_Root_CA_X3.crt setzen, und führen Sie anschließend den Befehl aus:
update-ca-certificates

Serverseitig

Auf der Serverseite haben Sie nur begrenzte Handlungsmöglichkeiten. Wenn Sie auf Ihrem Server Zertifikate von Let's Encrypt verwenden, sollten Sie wissen, dass sich nach dem 30. Sep. 2021 14:01:15 GMT nur noch Clients problemlos mit Ihrem Server verbinden können, die ISRG Root X1 vertrauen und Android >= v2.3.6 verwenden. Wenn Clients OpenSSL einsetzen, müssen sie Version OpenSSL >= 1.1.0 verwenden.

Dabei haben Sie eine Wahl: Auf Kosten des Supports für ältere Android-Versionen (mit verbleibender Unterstützung für Android >= 7.1.1) können Sie die Unterstützung für OpenSSL 1.0.x ohne Eingriffe auf Client-Seite erhalten.

Dazu müssen Sie die von Let's Encrypt angebotene alternative Vertrauenskette für Ihre Zertifikate verwenden. Diese Kette schließt DST Root CA X3 aus und sieht wie folgt aus:

ISRG Root X1 → Let's Encrypt R3 → End User Certificate

Um auf die alternative Kette umzustellen, lesen Sie die Dokumentation Ihres ACME-Clients.

Bei weiteren Fragen können Sie sich jederzeit über das Ticket-System an unser Support-Team wenden.

Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns