Support: +49 (0)209 38642-22        Supportfall melden

Probleme mit Let's Encrypt

Obwohl Let's Encrypt seit einiger Zeit Thema auf IT-News Seiten und in Foren ist, werden nur wenige schon einmal bewusst selbst damit zu tun gehabt haben. Dabei hat wahrscheinlich jeder schon einmal eine Website besucht, die mit einem SSL Zertifikat der Zertifizierungsstelle Let's Encrypt gesichert wurde.

Spätestens seit die meisten Browser eine Warnung ausgeben oder den Besuch sperren, wenn man eine Website aufrufen möchte, die nicht per SSL eine verschlüsselte Verbindung aufbaut (erkennbar an dem vorangestellten https anstelle des http in der Adresszeile im Browser), benötigt jeder Betreiber einer Website ein SSL-Zertifikat, das von einer Zertifizierungsstelle ausgegeben und direkt mit der eigenen Domain verbunden ist. Die meisten Hoster, bei denen Domains gemietet werden können, arbeiten mit einer Zertifizierungsstelle zusammen, sodass bei Bestellung einer Domain auch gleich ein SSL-Zertifikat bestellt werden kann. Diese Zertifikate kosten je nach Sicherheitsstufe eine Gebühr, um für einen festgelegten Zeitraum gültig zu sein.
Anders ist das bei Let's Encrypt, deren Zertifikate von Administratoren innerhalb weniger Sekunden kostenlos für beliebig viele Domains installiert werden können. Auch wenn ein Zertifikat von Let's Encrypt in der IT-Branche nicht den höchsten Ansprüchen gerecht wurde, war es für Millionen Webseiten-Betreiber eine gute Alternative zu kostenpflichtigen Zertifikaten.

Aus technischer Sicht wird die Gültigkeit jedes individuell erstellten SSL-Zertifikats von einem gemeinsamen Root-Zertifikat (in diesem Fall das DST-Root-CA-X3-Zertifikat) sichergestellt, das unter anderem auf vielen älteren Smartphones und anderen Endgeräten installiert ist. Am 29.09.2021 wurde das Root-Zertifikat ungültig. Geräte, die mit diesem Zertifikat arbeiten, lassen seit diesem Stichtag den Besuch von Seiten nicht mehr zu, die ebenfalls mit der alten Zertifikat-Generation gesichert sind. Man spricht dabei von einem Drittel der Android-Geräte, über 200 Millionen Domains und etlichen anderen Geräten, bei denen es zu Ausfällen kommen kann. Darunter auch Mail-Server, Linux-Distributionen, Laufzeitumgebungen und iOS-Geräte. Let's Encrypt hat schon vor längerer Zeit auf den Auslauf des Zertifikats hingewiesen und 2016 ein neues, eigenes Root-Zertifikat (ISRG Root X1) in zur Verfügung gestellt.

Da viele der älteren Geräte/Systeme noch nicht mit dem neuen Root-Zertifikat ausgestattet sind, wird es weiterhin zu Fehlern kommen, selbst wenn die "Gegenstelle", also zum Beispiel eine Website, schon mit dem neuen Zertifikat arbeitet. Benutzer dieser Geräte bzw. Softwareumgebungen, können in diesem Fall nur auf entsprechende Updates der Entwickler hoffen. Auf der Firmen-Website von Let's Encrypt befindet sich eine Auflistung aller betroffenen Versionen und denen, die bereits auf ISRG Root X1 umgestellt wurden.
Wenn Sie Fragen zu dem Thema haben oder ein Zertifikat benötigen, wenden Sie sich gerne an uns.