„Verkürzung der Let's-Encrypt-Vertrauenskette“

 (letsencrypt.org)
2 Punkte von GN⁺ 2023-07-11 | 1 Kommentare | Auf WhatsApp teilen
  • Let's Encrypt: eine Zertifizierungsstelle, die weithin vertrauenswürdige Zertifikate für Websites bereitstellt
  • Zertifikate, die anfangs von IdenTrusts DST Root CA X3 quersigniert wurden, wurden zur Sicherstellung des Vertrauens verwendet.
  • Das eigene Root-Zertifikat von Let's Encrypt, ISRG Root X1, hat im Lauf der Zeit breite Vertrauenswürdigkeit erlangt.
  • Das quersignierte Zwischenzertifikat und DST Root CA X3 laufen Ende 2021 ab.
  • Um die Kompatibilität mit älteren Android-Geräten aufrechtzuerhalten, soll eine direkte Quersignierung auf das Root von Let's Encrypt angewendet werden.
  • Die neue Quersignierung läuft am 30. September 2024 ab.
  • Der Anteil der Android-Geräte, die ISRG Root X1 vertrauen, ist in den vergangenen drei Jahren von 66 % auf 93,9 % gestiegen.
  • Android Version 14 wird das Vertrauen in ISRG Root X1 weiter erhöhen.
  • Durch das Entfernen der Quersignierung verringern sich die im TLS-Handshake übertragenen Zertifikat-Bytes um mehr als 40 %, und die Betriebskosten sinken.
  • Eine Funktion, die zuvor Quersignierung verwendete, wird im Februar 2024 in der Standardkonfiguration eingestellt und im Juni 2024 vollständig entfernt.
  • Website-Betreiber sollten ihre Web-Nutzungsstatistiken und User-Agent-Strings überwachen, um mögliche Probleme im Zusammenhang mit Android-Nutzern zu erkennen.
  • Nutzer mit Versionen vor Android 7.0 müssen möglicherweise Firefox Mobile verwenden, um auf mit Let's Encrypt geschützte Websites zuzugreifen.
  • Entwickler von ACME-Clients sollten sicherstellen, dass die Zertifikatskette korrekt heruntergeladen und installiert wird.
  • Let's Encrypt bedankt sich für die Unterstützung und Partnerschaft von IdenTrust.
  • Beiträge und Sponsoring zur Unterstützung der Arbeit von Let's Encrypt sind willkommen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-07-11
Hacker-News-Kommentare
  • Die Umstellung zur Verkürzung der Vertrauenskette von Let's Encrypt wurde auf Basis von Community-Feedback verschoben.
  • Der Umfang der Unterstützung für Let's-Encrypt-Zertifikate auf Android- und iOS-Geräten unterscheidet sich.
  • Apple ist besser darin, Nutzer von Betriebssystem-Updates zu überzeugen.
  • Die Lösung, die alte Cross-Signatur beizubehalten, ist interessant und stützt sich auf Trust Anchors.
  • Das Auslaufen von cross-signierten Zertifikaten könnte bei einigen Nutzern Probleme verursachen.
  • Die Betriebskosten von Let's Encrypt werden durch die Umstellung sinken.
  • Wegen des Ablaufs von Zertifikaten mussten einige Nutzer von Let's Encrypt zu ZeroSSL wechseln.
  • Das Angebot kostenloser Zertifikate könnte Regeln und die Abhängigkeit der Nutzer verändern.
  • TLS gilt wegen fortlaufender Änderungen und Abläufe als die fragilste Komponente des Webs.
  • Der Hintergrund dazu, wie Let's Encrypt ein Zertifikatsunternehmen für die Cross-Signatur fand, ist nicht bekannt.
  • Das Auslaufen des cross-signierten Zwischenzertifikats von Let's Encrypt und von DST Root CA X3 hatte Auswirkungen auf einige Nutzer, darunter ubiquiti-Nutzer.