„Ich mache mir Sorgen wegen der E-Mail, die ich von Cloudflare erhalten habe, da ich Cloudflare in meiner Installation verwende. Könnte mir jemand helfen, das zu verstehen? Werde ich offline sein?“
Hallo,
wir möchten Sie über eine bevorstehende Änderung informieren, die die Gerätekompatibilität von Let’s Encrypt-Zertifikaten, die nach dem 15. Mai 2024 ausgestellt werden, beeinträchtigen wird. Wir kontaktieren Sie, da wir festgestellt haben, dass Sie derzeit Let’s Encrypt-Zertifikate über Universal SSL, Advanced Certificate Manager, Custom Certificates oder SSL for SaaS verwenden. Wir empfehlen Ihnen, sich mit der Änderung von Let’s Encrypt vertraut zu machen und alle notwendigen Anpassungen im Voraus vorzunehmen.
Überblick über die Änderung
Let’s Encrypt stellt Zertifikate über zwei Ketten aus: die ISRG Root X1-Kette und die ISRG Root X1-Kette, die von IdenTrusts DST Root CA X3 gegengezeichnet wurde. Die gegengezeichnete Kette hat es Let’s Encrypt-Zertifikaten ermöglicht, weithin vertrauenswürdig zu werden, während die reine Kette in den letzten 3 Jahren die Kompatibilität mit verschiedenen Geräten entwickelt hat und die Anzahl der Android-Geräte, die ISRG Root X1 vertrauen, von 66 % auf 93,9 % gestiegen ist.
Let’s Encrypt hat angekündigt, dass die gegengezeichnete Kette am 30. September 2024 abläuft. Infolgedessen wird Cloudflare ab dem 15. Mai 2024 keine Zertifikate mehr aus der gegengezeichneten CA-Kette ausstellen.
Auswirkungen
Das Ablaufen der gegengezeichneten Kette wird hauptsächlich ältere Geräte (z. B. Android 7.0 und früher) und Systeme betreffen, die ausschließlich auf die gegengezeichnete Kette angewiesen sind und die ISRG Root X1-Kette nicht in ihrem Trust Store haben. Diese Änderung könnte zu Zertifikatsvalidierungsfehlern auf diesen Geräten führen, was potenziell zu Warnmeldungen oder Zugriffsproblemen für Benutzer führen kann, die Ihre Website besuchen.
Auswirkungen auf Zertifikate, die über Universal SSL, Advanced Certificate Manager oder SSL for SaaS ausgestellt wurden:
Zur Vorbereitung auf das Ablaufen der CA wird Cloudflare nach dem 15. Mai keine Zertifikate mehr aus der gegengezeichneten Kette ausstellen. Vor dem 15. Mai ausgestellte Zertifikate werden weiterhin für Clients mit der gegengezeichneten Kette bereitgestellt. Am oder nach dem 15. Mai ausgestellte Zertifikate verwenden die ISRG Root X1-Kette. Darüber hinaus betrifft diese Änderung nur RSA-Zertifikate. Sie betrifft keine ECDSA-Zertifikate, die über Let’s Encrypt ausgestellt wurden. ECDSA-Zertifikate behalten das gleiche Kompatibilitätsniveau bei wie heute.
Auswirkungen auf Zertifikate, die über Custom Certificates hochgeladen wurden:
In Cloudflare hochgeladene Zertifikate werden mit der Zertifikatkette gebündelt, die Cloudflare als am kompatibelsten und effizientesten erachtet. Nach dem 15. Mai 2024 werden alle in Cloudflare hochgeladenen Let’s Encrypt-Zertifikate mit der ISRG Root X1-Kette anstelle der gegengezeichneten Kette gebündelt. Vor dem 15. Mai hochgeladene Zertifikate verwenden weiterhin die gegengezeichnete Kette, bis dieses Zertifikat erneuert wird.
Wichtige Daten
15. Mai 2024: Cloudflare wird keine Zertifikate mehr aus der gegengezeichneten CA-Kette ausstellen. Darüber hinaus werden Let’s Encrypt Custom Certificates, die nach diesem Datum hochgeladen werden, anstelle der gegengezeichneten Kette mit der ISRG X1-Kette gebündelt.
30. September 2024: Die gegengezeichnete CA-Kette läuft ab.
Empfehlungen:
Um die Auswirkungen dieser Änderung zu minimieren, empfehlen wir die folgenden Schritte:
- CAs wechseln: Wenn Ihre Kunden Anfragen an Ihre Anwendung von älteren Geräten aus stellen und Sie erwarten, dass diese Änderung sie beeinträchtigt, empfehlen wir die Verwendung einer anderen Zertifizierungsstelle oder das Hochladen eines Zertifikats von der CA Ihrer Wahl.
- Überwachung: Sobald die Änderung umgesetzt ist, empfehlen wir, Ihre Support-Kanäle auf Anfragen bezüglich Zertifikatswarnungen oder Zugriffsproblemen zu überwachen.
- Trust Store aktualisieren: Wenn Sie die Clients kontrollieren, die sich mit Ihrer Anwendung verbinden, empfehlen wir ein Upgrade des Trust Stores, um die ISRG Root X1-Kette einzuschließen, um Auswirkungen zu vermeiden.
„Das war die E-Mail, die ich von ihnen erhalten habe, aber mit einigen Problemen bin ich ein Laie, ich habe versucht zu verstehen, ich habe recherchiert, aber ich konnte die Ernsthaftigkeit des Ganzen nicht verstehen. Wenn mir jemand helfen möchte, werde ich dankbar sein.“