Sicherlich ist Ihnen das kleine „s“ hinter der Angabe „http“ am Anfang einer Webseiten-Adresse schon aufgefallen. „http“ steht für „Hypertext Transfer Protocol“, also für die Art eines bestimmten Übertragungsweges im Internet. Das „s“ dahinter steht für „secure“, also sicher. Diese Erweiterung des Internetstandards zeigt an, dass die Verbindung zwischen Ihrem Gerät und der aufgesuchten Internetseite wie zum Beispiel einem Internet-Shop verschlüsselt ist. Dadurch wird verhindert, dass ein Dritter, Daten auf dem Übertragungsweg mitlesen kann, zum Beispiel Passwörter oder Bankdaten. Diese bleiben also geheim. Ab Januar 2021 könnten Ihnen jedoch vermehrt Warnhinweise begegnen, dass die Webseite nicht sicher ist. Wieso diese Warnungen nicht immer begründet sind, wird in diesem Beitrag erläutert.
Jede dieser so geschützten Internetseiten benötigt zur Verschlüsselung ein Zertifikat. Ein solches Zertifikat ist eine kleine Datei auf einem Webserver, in der die Domain, z.B. silver-tipps.de, die Organisation, z.B. das Land Rheinland-Pfalz, und der Standort, z.B. Mainz, kombiniert werden mit einem kryptografischen „Schlüssel“, der der Verschlüsselung dient. Dieser ist nichts anderes als eine lange, zufällig ausgewählte Zahlenkombination. Ein solches Zertifikat wird für jeden Website-Betreiber individuell von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, wie zum Beispiel „GlobalSign“ oder „Let’s Encrypt“, und auf dem Internet-Server gespeichert. Diese Stellen wiederrum sind allen Internetbrowsern (Edge, Firefox, Opera, …) und Betriebssystemen (Windows, Android, iOS, …) bekannt.
Nun sind wir bei dem Problem angekommen. Ein Zertifikat einer solchen Ausgabestelle für Zertifikate, „Let’s Encrypt“, läuft im Januar aus. Diese Firma möchte das Zertifikat nicht verlängern, sondern durch ein neues ersetzen. Doch ältere Versionen von Android unterstützen dieses neue Zertifikat nicht mehr. Dadurch wird es zu Warnhinweisen kommen, dass eine aufgerufene Webseite nicht sicher ist. Zwar lässt sich diese Meldung umgehen, aber wer möchte unsicher im Internet unterwegs sein? Andererseits ist dieses Zertifikat sehr beliebt, da Let’s Encrypt es als kostenlosen Service zur Verfügung stellt.
Betroffen von diesem Zertifikats-Austausch sind Geräte mit Android-Versionen älter als 7.1.1. Android 7 wird seit August 2016 auf mobile Geräte aufgespielt. Legt man die Installationszahlen aller Vorversionen zugrunde, könnten etwa 34 % aller Android-Geräte Probleme mit dem Zertifikat bekommen. Das gibt Let’s Encrypt unumwunden zu, behauptet aber gleichzeitig, dass diese Alt-Geräte nur etwa 5 % des Datenverkehrs betroffener Anbieter ausmachen. Legt man Googles eigene Aussage von 2,5 Milliarden aktiven Android-Systemen weltweit zugrunde, wären das maximal 850 Millionen Geräte, die durch Let’s Encrypt-Entscheidung betroffen sein könnten.
Falls Sie ein älteres Gerät besitzen, überprüfen Sie einmal die installierte Android-Version. Diese finden Sie unter Einstellungen>Info zum Gerät>Softwareinformationen. Falls Ihr Gerätehersteller keine Aktualisierung dafür anbietet, so kann dies zum einen daran liegen, dass Ihr Gerät mit einer neuen Version nicht kompatibel ist, sich also nicht mit den in Ihrem Gerät verbauten Komponenten verträgt. Zum anderen will, darf oder kann der Gerätehersteller eine solche Betriebssystemaktualisierung nicht immer an seine Kunden weitergeben. Denn schließlich verdienen diese daran, wenn sich Menschen alle zwei Jahre ein neues Gerät kaufen.
Let’s Encrypt selbst empfiehlt, den Firefox Mobile-Browser auf dem Smartphone zu installieren, der ab Android 5.0 verfügbar ist. Dieser liefert das neue Zertifikat bereits mit. Allerdings funktioniert dies nur beim Aufruf von Webseiten im Firefox Mobile-Browser. Apps, die selbst Webseiten öffnen, bräuchten weiterhin ein Android-Update. Dieses wir aber wahrscheinlich nicht kommen.
Was können Sie also tun?
- Überprüfen Sie zunächst die auf Ihrem Gerät installierte Android-Version. Falls Sie eine neuere Version als 7.1.1 haben, sollten Sie nicht betroffen sein.
- Falls Sie eine ältere Android-Version haben, so stellt Let’s Encrypt eine Testseite zur Verfügung, mit der sie feststellen können, ob das neue Zertifikat mit Ihrem Browser funktioniert. Die URL lautet: https://valid-isrgrootx1.letsencrypt.org/