Let's Encrypt stellt RSA-Zertifikate über zwei CA-Chains aus: die ISRG Root X1-Chain und die durch die vDST Root CA X3 von IdenTrust cross-signierte ISRG Root X1-Chain. Die cross-signierte Chain sorgte von Beginn an für ein hohes Mass an Vertrauen in Let's Encrypt-Zertifikate.
Parallel dazu fand im Laufe der Jahre die Standard ISRG Root X1 CA Einzug in die meisten Trust Stores: so stieg die Anzahl der Android-Geräte, die ISRG Root X1 vertrauen, von 66% auf 93.9%. Jetzt ist es soweit: Die cross-signierte Chain wird am 30. September 2024 ablaufen. ECDSA-Zertifikate, die über Let's Encrypt ausgestellt werden, sind davon übrigens nicht betroffen.
Das Auslaufen der cross-signed Chain betrifft vor allem ältere Geräte (z.B. Android 7.0 (2016) und älter) sowie Systeme, die ausschliesslich auf die cross-signed Chain angewiesen sind und die ISRG Root X1 Chain nicht in ihrem Trust Store haben. Ab diesem Zeitpunkt wird die Validierung von Zertifikaten auf diesen Geräten fehlschlagen. Es ist also an der Zeit, die verwendete Root CA und das Alter der Clients zu überprüfen.