Der wichtigste entscheidende Faktor dafür, ob eine Plattform Let’s Encrypt Zertifikate validieren kann, ist, ob diese Plattform dem “ISRG Root X1”-Zertifikat von ISRG vertraut. Vor September 2021 konnten einige Plattformen unsere Zertifikate validieren, obwohl sie ISRG Root X1 nicht enthalten, da sie dem „DST Root CA X3“-Zertifikat von IdenTrust vertrauten. Ab Oktober 2021 validieren nur die Plattformen, die ISRG Root X1 vertrauen, Let’s Encrypt-Zertifikate (mit Ausnahme von Android).

Wenn Ihr Zertifikat auf einigen bekannten kompatiblen Plattformen, aber auf anderen Plattformen nicht validiert wird, kann das Problem eine falsche Konfiguration des Webservers sein. Wenn Sie ein Problem mit modernen Plattformen haben, liegt die häufigste Ursache darin, dass Sie nicht die richtige Zertifikatskette bereitstellen. Testen Sie Ihre Seite mit dem SSL Labs Server Test. Wenn das Problem dadurch nicht erkannt wird, bitten Sie um Hilfe in unseren Community-Foren.

Plattformen, die ISRG Root X1 vertrauen

• Windows >= XP SP3 (angenommen, dass das automatische Root-Zertifikat Update nicht manuell deaktiviert ist)
• macOS >= 10.12.1
• iOS >= 10 (iOS 9 beinhaltet es nicht)
• iPhone 5 und höher können auf iOS 10 aktualisiert werden und somit ISRG Root X1 vertrauen
• Android >= 7.1.1 (Aber Android >= 2.3.6 wird standartmässig laufen aufgrund unseres speziellen Cross Signs)
• Mozilla Firefox >= 50.0
• Ubuntu >= Precise Pangolin / 12.04 (mit angewendeten Updates)
• Debian >= jessie / 8 (mit angewendeten Updates)
• Java 8 >= 8u141
• Java 7 >= 7u151
• NSS >= 3.26

Browser (Chrome, Safari, Edge, Opera) vertrauen im Allgemeinen den gleichen Root-Zertifikaten wie das Betriebssystem, auf dem sie laufen. Firefox ist die Ausnahme: Es hat seinen eigenen Root-Store. Bald werden neue Versionen von Chrome auch einen eigenen Root-Store haben.

Plattformen, die DST Root CA X3 vertrauen, aber nicht ISRG Root X1

Diese Plattformen haben bis September 2021 funktioniert, validieren aber keine Let’s Encrypt-Zertifikate mehr.

• macOS < 10.12.1
• iOS < 10
• Mozilla Firefox < 50
• Ubuntu >= intrepid / 8.10
• Debian >= squeeze / 6 und < jessie /8
• Java 8 >= 8u101 und < 8u141
• Java 7 >= 7u111 und < 7u151
• NSS >= v3.11.9 und < 3.26
• Amazon FireOS (Silk-Browser) (Versionsbereich unbekannt)
• Cyanogen > v10 (Version, die ISRG Root X1 hinzugefügt hat unbekannt)
• Jolla Sailfish OS > v1.1.2.16 (Version, die ISRG Root X1 hinzugefügt hat unbekannt)
• Kindle > v3.4.1 (Version, die ISRG Root X1 hinzugefügt hat unbekannt)
• Blackberry >= 10.3.3 (Version, die ISRG Root X1 hinzugefügt hat unbekannt)
• PS4 game console with firmware >= 5.00 (Version, die ISRG Root X1 hinzugefügt hat unbekannt)

Bekannte inkompatible Plattformen

• Blackberry < v10.3.3
• Android < v2.3.6
• Nintendo 3DS
• Windows XP vor SP3
  • kann SHA-2 signierte Zertifkate nicht verarbeiten
• Java 7 < 7u111
• Java 8 < 8u101
• Windows Live Mail (Programm von 2012, nicht Webmail)
  • kann Zertifikate ohne CRL nicht verarbeiten
• PS3-Konsole
• PS4-Konsole mit Firmware < 5.00

ISRG Root X2 (neuer ECDSA Root) - bald verfügbar

Wir haben ISRG Root X2 bei den Microsoft, Apple, Google, Mozilla und Oracle Root-Programmen für die Integration eingereicht.

ISRG Root X2 ist bereits über ein Cross-Sign von unserem ISRG Root X1 weitgehend vertraut. Außerdem haben mehrere Root-Programme ISRG Root X2 bereits als Vertrauensanker hinzugefügt.

Weitere Informationen zum Status der Aufnahme finden Sie in unserem Community-Forum.

Während wir darauf warten, dass ISRG Root X2 weithin vertrauenswürdig wird, ist es möglich, ISRG Root X2 für Ihre ECDSA-Zertifikate zu verwenden. Weitere Informationen finden Sie in unserem Beitrag im Community-Forum.