Bild.de Hier geht es zurück zu Bild.de

Zertifikat läuft aus

Jedes dritte Android-Smartphone bekommt bald Probleme beim Surfen im Internet

Alte Android-Smartphones werden ab 2021 keinen Zugriff auf viele Internet-Seiten haben
Wer noch ein älteres Android-Smartphone aktiv nutzt, muss ab 2021 mit massiven Einschränkungen rechnenFoto: Getty Images

Das Android-Betriebssystem ist dafür bekannt, dass Updates nur langsam oder gar nicht bei Besitzern älterer Smartphones ankommen. Nun macht sich diese Vernachlässigung für einen Großteil von Android-Nutzern bemerkbar.

Mittlerweile nutzen fast alle Webseiten das sichere Kommunikationsprotokoll „HTTPS“ (Hypertext Transfer Protocol Secure), um Nutzern ein sicheres Surfen im Internet zu ermöglichen. Doch HTTPS braucht bestimmte Zertifikate, um eine sichere Verbindung herzustellen. Auf vielen älteren Android-Smartphones läuft 2021 ein wichtiges Zertifikat aus. Die Folge: Ein Großteil aller Internet-Webseiten wird für Besitzer dieser Smartphones nicht mehr zugänglich sein.

Fast ein Drittel aller Webseiten nicht mehr erreichbar

Die Internet-Zertifikate werden von sogenannten „Certificate Authorities“ (CA, zu dt. Zertifizierungsstelle“) vergeben. Eine der größten davon ist „Let’s Encrypt“, die zur kalifornischen „Internet Security Research Group“ (ISRG) gehört. Die Zertifikate der Gruppe werden in etwa 30 Prozent der Web-Domains weltweit verwendet. Bislang hatte die Gruppe eine Partnerschaft mit einer weiteren Certificate Authority namens „IdenTrust“.

Im Prinzip dient diese Partnerschaft dazu, das Root-Zertifikat „ISRG Root X1“ von Let’s Encrypt mit dem Root-Zertifikat von IdenTrust quer zu signieren. Das war notwendig, da IdenTrusts Root-Zertifikat „TrustID X3 Root“ länger auf dem Markt ist und dadurch bessere Kompatibilität mit älteren Browsern hat. Das Root-Zertifikat von Let’s Encrypt allein würde von diesen Browsern nicht als vertrauenswürdig anerkannt.

Die Partnerschaft zur Quersignierung mit IdenTrust läuft jedoch am 1. September 2021 aus und Let’s Encrypt plant keine Verlängerung. Das bedeutet, dass alle Browser und Betriebssysteme ohne das Let’s-Encrypt-Root-Zertifikat keine Seiten mehr öffnen können, die Zertifikate der Gruppe nutzen.

Alte Android-Versionen kommen nicht mehr auf Webseiten

Das hat weitreichende Auswirkungen für Besitzer älterer Android-Smartphones. In seiner Ankündigung, sich von von IdenTrust lösen zu wollen, schreibt Let’s Encrypt:

„Software, die seit 2016 nicht mehr aktualisiert wurde, vertraut unserem Root-Zertifikat ISRG Root X1 immer noch nicht. Das umfasst insbesondere Android-Versionen vor 7.1.1. Das bedeutet, dass diese älteren Android-Versionen nicht länger Zertifikaten von Let’s Encrypt vertraut.“

In der Ankündigung verweist Let’s Encrypt auch darauf, dass mehr als ein Drittel (33,8 Prozent) der Android-Smartphones mit Betriebssystemen älter als Version 7.1.1. laufen. Das bedeutet, dass viele Geräte, die 2017 oder früher gekauft wurden, bereits ab kommenden Jahr nicht mehr auf einen Großteil der Webseiten zugreifen können.

Der Vorfall zeigt wieder einmal die unrühmliche Praxis von Android-Herstellern, die ihre Smartphones nicht mit aktuellen Updates versorgen. Während Apple seinen iPhones vier bis fünf neue iOS-Versionen bereitstellt, sehen gerade günstige Android-Smartphone nur etwa ein oder zwei Android-Versionsupdates – wenn überhaupt.

Keine einfache Lösung für Besitzer älterer Android-Geräte

Eine einfache Lösung für Besitzer von älteren Android-Smartphones gibt es leider nicht. Zwar empfiehlt Let’s Encrypt, den Firefox-Browser zu installieren, der das ISRG-Root-X1-Zertifikat bereits enthält. Andere Dienste wie etwa der Google Play Store und Play Services, die ebenfalls auf das Internet zugreifen, können davon aber nicht Gebrauch machen.

Alternativ können erfahrene Android-Nutzer auch das Root-Zertifikat nachträglich als Nutzer-Zertifikat installieren. Da dies aber Raum für bösartige Angriffe bietet, rät TECHBOOK davon grundsätzlich ab.

Themen