ALPN: Ein Prozent der Let's-Encrypt-Zertifikate wird zurückgezogen

Let's Encrypt teilt mit, dass es Probleme bei der ALPN-Validierungsmethode gab. Betroffene Administratoren müssen ihre Zertifikate ersetzen.

Artikel von veröffentlicht am
Bei Let's Encrypt gab es offenbar ein Problem mit der ALPN-Validierungsmethode.
Bei Let's Encrypt gab es offenbar ein Problem mit der ALPN-Validierungsmethode. (Bild: Let's Encrypt)

Einige Nutzer von Let's Encrypt müssen in den nächsten Tagen ihre Zertifikate manuell erneuern. Grund dafür sind nicht näher beschriebene Probleme mit der ALPN-Validierungsmethode.

Stellenmarkt
  1. Wissenschaftliche/-r Mitarbeiter/-in in der digitalen Lehre mit dem Schwerpunkt digitale Aufgabenentwicklung ... (m/w/d)
    Ostbayerische Technische Hochschule Amberg-Weiden (OTH), Amberg
  2. Mitarbeiter*in im Bereich IT- & Medientechnik mit dem Schwerpunkte Systemadministration
    Pädagogische Hochschule Weingarten, Weingarten
Detailsuche

Laut der kurz gehaltenen Ankündigung im Forum wurde Let's Encrypt am Dienstag, den 25. Januar, über "Irregularitäten" im Code von Boulder informiert. Boulder ist eine Open-Source-Software, die bei Let's Encrypt serverseitig die Zertifikatsausstellung betreibt. Als Reaktion auf die Meldung hat Let's Encrypt zwei Änderungen in der Implementierung der Validierungsmethode TLS-ALPN-01 durchgeführt.

Das von Let's Encrypt verwendete ACME-Protokoll unterstützt verschiedene Mechanismen, um den Besitzer eines Webservers zu verifizieren, eine davon verwendet die TLS-Erweiterung ALPN. Die Änderungen sind zum einen, dass der Let's-Encrypt-Server künftig die ALPN-Validierung nur noch mittels TLS 1.2 oder höher durchführt.

Alte Kennung für Zertifikatserweiterung wird deaktiviert

Die zweite Änderung betrifft ein temporäres Zertifikat, das im Rahmen der ALPN-Validierung zum Einsatz kommt. ALPN ist eine TLS-Erweiterung, die verwendet werden kann, um verschiedene inkompatible Protokolle auf demselben Port zu betreiben, sie wird etwa für die Aushandlung von HTTP/2 eingesetzt. Bei der ALPN-Validierung muss der zu überprüfende Server ein temporäres Zertifikat mit einer speziellen Erweiterung präsentieren.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    21.06.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    19./20.05.2022, Virtuell
Weitere IT-Trainings

Für diese Erweiterung gibt es eine Zahlenkennung, eine sogenannte OID. Dabei wurde in den Entwürfen des Standardisierungsdokuments eine andere Kennung verwendet als im letztendlich verabschiedeten Standard. Let's Encrypt hat nun die Unterstützung für diese vorläufige, nicht standardisierte OID entfernt.

Für Nutzer relevant: Alle Zertifikate, die vor dem 26. Januar mit der ALPN-Methode validiert wurden, werden zurückgezogen. Damit kann es zu Verbindungsproblemen kommen, wenn Clients die Gültigkeit mittels des OCSP-Protokolls prüfen. Laut Let's Encrypt sind etwa ein Prozent der aktuell gültigen Zertifikate davon betroffen. Die am häufigsten eingesetzte Zertifikatsausstellungssoftware Certbot nutzt die ALPN-Methode nicht und ist daher nicht betroffen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Genaue Hintergründe noch unklar

Wie Zertifikate erneuert werden können, hängt von der jeweiligen Software ab. Im Let's-Encrypt-Forum gibt es einen Thread, in dem Anleitungen verlinkt sind und Fragen gestellt werden können. Betroffene Nutzer, die bei der Zertifikatsausstellung eine Mailadresse angegeben haben, haben eine Benachrichtigungsmail erhalten. Allerdings kann man Zertifikate auch ohne Angabe einer Mailadresse ausstellen, somit können nicht alle Nutzer informiert werden.

Die genauen Hintergründe für dieses Zurückziehen von Zertifikaten sind bislang nicht bekannt. Die Änderungen machen aber nicht den Eindruck, dass hier eine kritische Sicherheitslücke geschlossen wurde.

Allerdings: Im RFC 8737, in dem die ALPN-Validierung standardisiert wurde, steht eindeutig, dass Verbindungen mit alten TLS-Versionen vor 1.2 nicht zulässig sind. Möglicherweise handelt es sich also nicht um einen sicherheitskritischen Vorfall, sondern lediglich um eine Verletzung von bestehenden Richtlinien. Auch in solchen Fällen ist es üblich und durch die Regelungen des CA/Browser-Forums festgelegt, dass Zertifikate zurückgezogen werden.

Die ALPN-Validierung wurde ursprünglich eingeführt, um eine andere Methode, die mittels der TLS-SNI-Erweiterung arbeitete, zu ersetzen. Der Hintergrund dafür war, dass in der SNI-Methode eine kritische Sicherheitslücke gefunden wurde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. The Valiant: Ritterliche Strategie mit Theoderich von Akenburg
    The Valiant
    Ritterliche Strategie mit Theoderich von Akenburg

    Actionlastige PC-Echtzeit-Strategie im mittelalterlichen Szenario will The Valiant bieten - und eine Handlung rund um ein mythisches Relikt.

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /