Wordpress

Informationen zu bevorstehenden Änderungen an der Vertrauenskette von Let’s Encrypt

Bei WP Engine setzen wir uns dafür ein, dass Ihre Websites immer sicher und leicht zugänglich sind. Zu diesem Zweck verwenden wir Let’s Encrypt SSL-Zertifikate, um die Kommunikation zwischen Ihrer Website und ihren Besuchern zu schützen. So können Sie sicher sein, dass Ihre digitale Präsenz gut geschützt ist.

Let’s Encrypt ist weiterhin führend im Bereich SSL-Schutz und stellt SSL-Zertifikate für mehr als 260 Millionen Websites weltweit bereit. Wir möchten Sie jedoch auf erhebliche Änderungen in der Hierarchie der Vertrauenskette aufmerksam machen, die sich auf ältere Geräte und Betriebssysteme auswirken können.

Die Auswirkungen dieser Änderungen werden voraussichtlich minimal sein. Um jedoch einen unterbrechungsfreien Dienst und das Vertrauen der Site-Benutzer aufrechtzuerhalten, ist es wichtig, zu verstehen, welche Auswirkungen sie auf Ihre Site haben könnten.

Lesen Sie weiter, um eine kurze Zusammenfassung aller wichtigen Informationen zu erhalten.

Was ist eine Vertrauenskette?

Eine Vertrauenskette ist ein grundlegendes Konzept der Cybersicherheit, das gewährleistet, dass jede Komponente eines Systems – sei es Hardware oder Software – vertrauenswürdig ist.

Die bevorstehenden Änderungen an der Vertrauenskette von Let’s Encrypt verstehen

In Bezug auf SSL/TLS-Zertifikate beginnt die Vertrauenskette oben bei einer vertrauenswürdigen Stammzertifizierungsstelle (CA) und erstreckt sich über Zwischenzertifikate bis hin zum auf Ihrer Site installierten SSL-Zertifikat.

Jedes Zertifikat in der Kette wird von dem darüber liegenden Zertifikat überprüft, wodurch eine sichere Verbindung zurück zur vertrauenswürdigen Stammadresse hergestellt wird. Dieser Prozess stellt sicher, dass das von Ihrer Site verwendete SSL-Zertifikat authentisch ist und von den Browsern und Geräten der Benutzer als vertrauenswürdig eingestuft werden kann.

In manchen Fällen, insbesondere wenn eine neue Zertifizierungsstelle eingeführt wird, wird ihr Stammzertifikat von älteren Geräten und Systemen möglicherweise noch nicht allgemein als vertrauenswürdig eingestuft. Um dieses Problem zu lösen, kann eine Cross-Signing-Methode verwendet werden, bei der eine etablierte Zertifizierungsstelle für die neue Zertifizierungsstelle bürgt, indem sie deren Zertifikat signiert.

Dadurch wird ein weiteres Glied in der Vertrauenskette geschaffen, sodass ältere Geräte die Zertifikate der neuen Zertifizierungsstelle erkennen und ihnen vertrauen können. Die Kreuzsignatur war in den Jahren nach der Einführung von Let’s Encrypt besonders nützlich, da sie dafür sorgte, dass ältere Android-Geräte den Zertifikaten vertrauen konnten, wodurch Störungen für diese Benutzer vermieden wurden.

Mit der Zeit konnte durch diesen Ansatz der Prozentsatz von Android-Geräten, die den Zertifikaten von Let’s Encrypt von Haus aus vertrauen, von rund 60 % auf über 93 % gesteigert werden. Mit der zunehmenden Kompatibilität neuerer Geräte verringerte sich auch die Notwendigkeit der Kreuzsignatur erheblich.

Was ändert sich an der Vertrauenskette von Let’s Encrypt?

Im Juni 2024 gab Let’s Encrypt bekannt, dass es den Zugriff auf seine kreuzsignierte Kette einstellt, um sich auf das Ablaufen seines kreuzsignierten Zertifikats am 30. September 2024 vorzubereiten.

Beide haben die Vertrauenskette von Let’s Encrypt schon lange auf ältere Geräte und Betriebssysteme ausgeweitet, die auf veraltete Methoden zur Validierung von SSL-Zertifikaten angewiesen sind. Der Bedarf an Cross-Signing hat in den letzten Jahren jedoch abgenommen, insbesondere da der Anteil kompatibler Android-Geräte (die dem ISRG Root X1-Zertifikat von Let’s Encrypt nativ vertrauen können) auf über 93 % gestiegen ist.

Die restlichen 7 % sind ungepatchte, oft unsichere Android-Geräte, und Let’s Encrypts Entscheidung, die Vertrauenskette zu verkürzen, zielt tatsächlich darauf ab, Datenschutz und Sicherheit zu verbessern. Durch die schrittweise Abschaffung der kreuzsignierten Kette will Let’s Encrypt den Vertrauensprozess rationalisieren und potenzielle Schwachstellen reduzieren, die mit der Aufrechterhaltung der Unterstützung veralteter Systeme verbunden sind.

Während dieses Update für die meisten Benutzer die Effizienz und Sicherheit verbessert, kann es dazu führen, dass einige ältere, ungepatchte Geräte Let’s Encrypt-Zertifikate nicht mehr erkennen, was zu potenziellen Zugriffsproblemen führen kann.

Für die überwiegende Mehrheit der Benutzer moderner Geräte sind die Auswirkungen vernachlässigbar. Es ist jedoch wichtig zu beurteilen, ob Ihre Zielgruppe auch Benutzer älterer Geräte umfasst, und wenn ja, mögliche Minderungsstrategien in Betracht zu ziehen.

Dies liegt daran, dass diese älteren Systeme die von Let’s Encrypt ausgestellten Zertifikate ohne die kreuzsignierte Kette möglicherweise nicht mehr erkennen, was zu potenziellen Sicherheitswarnungen oder blockierten Zugriffen führen kann.

Auch hier werden die Auswirkungen dieser Änderung für die meisten Websites vernachlässigbar sein. Es ist jedoch wichtig zu beurteilen, ob Ihre Zielgruppe Benutzer umfasst, die möglicherweise ältere Geräte verwenden, und wenn ja, welche potenziellen Minderungsstrategien es geben könnte.

Welche genauen Auswirkungen wird es auf meine Benutzer haben?

Jeder Browser und jedes Betriebssystem verlässt sich auf einen Zertifikats-Truststore, um die Authentizität der von Websites vorgelegten SSL/TLS-Zertifikate zu überprüfen. Dieser Truststore enthält eine Liste vertrauenswürdiger Zertifizierungsstellen (CAs), darunter Let’s Encrypt, die von Browsern und anderen Geräten verwendet werden, um die Sicherheit einer Website zu validieren.

Wenn eine Zertifizierungsstelle wie Let’s Encrypt ihr Vertrauensmodell aktualisiert, können Geräte mit veralteten oder nicht unterstützten Betriebssystemen die von dieser Zertifizierungsstelle ausgestellten Zertifikate möglicherweise nicht mehr erkennen und ihnen nicht mehr vertrauen. Dies kann zu Sicherheitswarnungen oder blockiertem Zugriff führen.

Besonders gefährdet sind beispielsweise Android-Geräte mit Versionen unter 7.1.1 (die aktuelle Android-Version ist 14 und der Sicherheitssupport für Android 7 endete im Oktober 2019).

Let’s Encrypt schätzt, dass etwa 6% der Android-Geräte von dieser Änderung betroffen sein werden. Dies könnte dazu führen, dass den Benutzern Sicherheitswarnungen angezeigt werden, sie keine sichere Verbindung herstellen können oder ihnen sogar der Zugriff auf Ihre Site verweigert wird.

Die Auswirkungen auf Ihre Benutzer hängen weitgehend von der Zusammensetzung Ihres Publikums ab. Dennoch ist es wichtig, die Zugriffsprotokolle Ihrer Website zu überwachen, um die Geräte zu identifizieren, die Ihre Website-Besucher verwenden. Insbesondere sollten Sie nach Android-Benutzeragenten suchen, auf denen Version 7 oder früher ausgeführt wird, z. B.: „Linux; Android 7.0.“

Wie kann ich mich auf mögliche Auswirkungen vorbereiten?

Wenn Sie diese Probleme proaktiv angehen, können Sie sicherstellen, dass alle Site-Benutzer, unabhängig von ihren Geräten, weiterhin ein sicheres und reibungsloses Erlebnis auf Ihrer Site haben.

Darüber hinaus möchten Sie möglicherweise mit Ihren Benutzern kommunizieren, insbesondere wenn Sie wissen, dass ein Teil Ihrer Zielgruppe ältere Geräte verwendet, um sie über die bevorstehenden Änderungen zu informieren und ihnen sogar vorzuschlagen, ihre Betriebssysteme oder Browser zu aktualisieren, um potenzielle Zugriffsprobleme zu vermeiden.

Für Kunden, die sich über größere Auswirkungen Sorgen machen, kann die Zusammenarbeit mit einer Drittanbieter-CA wie SSL.com interessant sein. WP Engine bietet die Möglichkeit, ein SSL-Zertifikat eines Drittanbieters zu importieren. Dabei sind jedoch einige zusätzliche Anforderungen und Bestimmungen zu beachten.

Noch wichtiger ist, dass viele Zertifizierungsstellen von Drittanbietern möglicherweise auch den Support für ältere Geräte eingeschränkt haben. Daher sollten Kunden Folgendes überprüfen, wenn sie sich für diesen Weg entscheiden:

  • Die CA unterstützt derzeit ältere Geräte und plant, diesen Support beizubehalten.
  • Die CA ist mit WP Engine kompatibel

Weitere Informationen zu Zertifizierungsstellen von Drittanbietern finden Sie hier, und zusätzliche Workarounds zur Erweiterung der Kompatibilität mit Android-Geräten finden Sie hier.

Wir geben Ihnen Online-Sicherheit

Mit dem technologischen Fortschritt verändern sich auch die Herausforderungen und Chancen, die mit der Sicherung Ihrer digitalen Präsenz einhergehen. Deshalb bieten wir eine Reihe von Ressourcen und Tools an, die Ihnen dabei helfen, immer einen Schritt voraus zu sein.

Von der Sicherung Ihrer Site mit SSL-Zertifikaten bis hin zur Bereitstellung erweiterter Sicherheits- und Leistungslösungen – wir sind bestrebt, Ihnen Online-Vertrauen zu vermitteln. Besuchen Sie wpengine.com oder sprechen Sie jetzt mit einem Vertreter, um mehr zu erfahren.

Leave a Reply