Das Schlosssymbol oder auch das kleine "s" hinter "http" am Beginn von Website-Adressen kennt mittlerweile jeder, der im Netz unterwegs ist. Der Buchstabe steht für "secure", also sicher, und zeigt an, dass die Verbindung zwischen Endgerät und Browser des Nutzers bis zum Server der Website verschlüsselt ist. Kriminelle können so zum Beispiel keine persönlichen Daten in Online-Formularen mitlesen und abgreifen.
Websites, die dieses "s" als Sicherheitsmerkmal haben wollen, müssen bestimmte Kriterien erfüllen. Erreichen sie die, bekommen sie ein entsprechendes Zertifikat. Ausgegeben werden die Zertifikate von verschiedenen Anbietern, die wiederum von einer übergeordneten Stelle, dem Certificate Authority Security Counsel (CASC) autorisiert werden.
Der Zertifikatsanbieter Let's Encrypt (zu Deutsch: Lasst uns verschlüsseln) sorgt nun für Kopfzerbrechen beim Aufsichtsgremium und für Aufregung im Web: Weil eines der Zertifikate, das Let's Encrypt nutzt, im Januar ausläuft und der Anbieter dieses nicht mehr verlängern, sondern durch ein neues ersetzen will, werden Besitzerinnen und Besitzer von älteren Android-Smartphones viele Websites nicht mehr einfach aufrufen können. Denn alte Versionen des Google-Betriebssystems unterstützen das neue Let's-Encrypt-Zertifikat nicht.
Millionen Warnhinweise
Diese Nutzerinnen und Nutzer werden ab nächstem Jahr einen Warnhinweis sehen, dass die aufgerufenen Websites nicht sicher sind. Diese Fehlermeldung lässt sich zwar wegklicken, allerdings werden das viele nicht tun. Denn wer will schon auf unsicher wirkenden Websites unterwegs sein. Und diese Warnhinweise werden millionenfach zu sehen sein, das alte Let's-Encrypt-Zertifikat ist sehr beliebt. Websitebetreiber mögen es gerne, weil es im Gegensatz zu vielen anderen kostenlos ist.
Betroffen vom Zertifikate-Austausch sind Android-Geräte, deren Version älter als die Nummer 7.1.1 ist. Android 7, von Google "Nougat" getauft, erblickte im August 2016 das Licht der Welt, das erste Update folgte im Oktober 2016. Diese Handys sind also gerade einmal vier Jahre alt. Und es gibt sie noch häufig: Im September 2020 liefen noch rund neun Prozent aller Android-Geräte mit "Nougat". Zusammen mit noch älteren Versionen sind rund 25 Prozent aller Android-Geräte zu alt für die neuen Zertifikate. Legt man Googles eigene Aussage von 2,5 Milliarden aktiven Android-Systemen weltweit zugrunde, wären das gut 600 Millionen Smartphones und Tablets, die durch die Let's-Encrypt-Entscheidung nahezu unbrauchbar gemacht werden.
Nun bringt Google zwar regelmäßig neue Android-Versionen heraus, diese sind einerseits aber nicht immer mit älteren Geräten kompatibel. Andererseits geben die Handyhersteller die Updates, selbst wenn es möglich wäre, nicht immer an ihre Kunden weiter. Denn sie verdienen gut daran, wenn sich Menschen alle zwei Jahre ein neues Handy kaufen.
Let's Encrypt empfiehlt für das selbst geschaffene Problem, den Firefox-Browser auf dem Smartphone zu installieren. Denn dieser liefert das neue Zertifikat bereits mit. Allerdings funktioniert diese Strategie nur bei Websites im Browser, bei Apps dagegen nicht. Diese bräuchten weiterhin ein Android-Update.
Update: Am 21.12. 2020 hat Let's Encrypt in einem Blogbeitrag mitgeteilt, dass am ursprünglichen Plan, das Zertifikat ab Januar auslaufen zu lassen, so nicht mehr festgehalten werde. Man habe ein neues Zertifikat entwickelt, das auch mit älteren Android-Versionen kompatibel sei.
