Ab September 2021: Ältere Android-Geräte scheitern beim Laden einiger verschlüsselter Websites

Auf Nutzer von Android-Geräten, auf denen die 2016 eingeführte OS-Version 7.1 Nougat oder eine noch ältere Android-Version eingesetzt wird, kommt ein eigentlich nicht lösbares Problem zu. Sie können ab 1. September 2021 bestimmte, per HTTPS geschützte Websites nicht mehr aufrufen. Betroffen sind Seiten, die mit einem SSL/TLS-Zertifikat von Let’s Encrypt versehen sind.

Let’s Encrypt erfreut sich als freie Certificate Authority (CA) großer Beliebtheit bei Websitebetreibern, da es auch kostenlose Zertifikate anbietet. In weniger als fünf Jahren stellte das Unternehmen mehr als eine Milliarde kostenlose TLS-Zertifikate aus, die fast 200 Millionen Websites sichern.

Das Problem ist nun, dass das ursprüngliche Root-Zertifikat von Let’s Encrypt, das auf einer Cross-Signatur von IdenTrust basiert, am 1. September 2021 ungültig wird. Bei den meisten Betriebssystemen ist das keine Hürde, da sie mit dem neuen eigenen Root-Zertifikat von Let’s Encrypt arbeiten können – bei Android ist dies aber nicht der Fall.

Denn Geräte mit Android 7 oder einer noch älteren Android-Version erhalten keine Updates mehr – auch nicht für den Zertifikatsspeicher. Ist das Root-Zertifikat jedoch ungültig, kann die Gültigkeit eines aktuellen TLS-Zertifikats nicht mehr geprüft werden. Ein Browser gibt dann bestenfalls eine Fehlermeldung aus und erlaubt trotzdem, die Seite aufzurufen – oder er blockiert den Zugang zu der Seite dauerhaft.

Let’s Encrypt selbst hat keinen Einfluss auf eine Lösung des Problems. Die liegt einzig in den Händen der Hersteller von Android-Smartphones und -Tablets. Ohne ein von ihnen entwickeltes Softwareupdate erhalten ältere Geräte keine neuen Root-Zertifikate.

Eine Ausweichmöglichkeit bietet sich Betroffenen jedoch. Sie können auf die mobile Version von Mozilla Firefox umsteigen, da der Browser über einen eigenen Zertifikatsspeicher verfügt. Dieser wird von Mozilla gepflegt und sollte das neue Root-Zertifikat von Let’s Encrypt bereits unterstützen. Diese Hintertür hilft allerdings nicht bei verschlüsselten Verbindungen, die Apps beispielsweise mit eigenen Servern herstellen, die wiederum ein Zertifikat von Let’s Encrypt verwenden – sie greifen auf den Root-Zertifikatsspeicher von Android zu.

Bei einigen Websites wird das Problem bereits ab dem 11. Januar auftreten. Denn alle Zertifikate, die Let’s Encrypt ab diesem Datum neu ausgibt oder verlängert, verweisen auf das neue Root-Zertifikat. Allerdings haben Website-Betreiber die Möglichkeit, mithilfe des Tools Certbot eine Verknüpfung zum alten Root-Zertifikat herzustellen.

Aktuelle Zahlen zur Verbreitung von Android 7.1 und früher liegen von Google nicht vor. Let’s Encrypt geht jedoch davon aus, dass Websites im Schnitt zwischen ein und fünf Prozent ihres Traffics von diesen alten Android-Geräten erhalten.