• IT-Karriere:
  • Services:

CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Artikel veröffentlicht am ,
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange.
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons/CC-BY 3.0)

Let's Encrypt zieht nun doch nicht alle drei Millionen Zertifikate zurück, die von einem Fehler bei der Zertifikatsausstellung betroffen waren. Offenbar befürchtete man zu viele Probleme und entschied sich daher, zunächst nur einen Teil der betroffenen Zertifikate zurückziehen.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. Fresenius Kabi Deutschland GmbH, Oberursel

Let's Encrypt hatte vor wenigen Tagen festgestellt, dass bei etwa drei Millionen Zertifikaten ein Fehler beim Prüfen des CAA-Records gemacht wurde. Nach den Regeln des CA/Browser-Forums müssten diese Zertifikate innerhalb von fünf Tagen zurückgezogen werden.

1,7 Millionen Zertifikate zurückgezogen, 1,3 Millionen bleiben gültig

In einem Foreneintrag erläutert Let's-Encrypt-Mitarbeiter Josh Ash die Entscheidung. Demnach wurden 1,7 Millionen Zertifikate in der vergangenen Nacht zurückgezogen. Golem.de hat stichprobenhaft einige Zertifikate geprüft, es scheint so, dass bei allen Webseiten, die ihre Zertifikate bereits getauscht haben, die alten Zertifikate nun zurückgezogen sind. Bei Webseiten, die noch betroffene Zertifikate einsetzen, sind diese weiterhin gültig.

Es gibt aber noch einen Spezialfall: Bei 445 Zertifikaten wurde zwischenzeitlich ein CAA-Record gesetzt, der eine Zertifikatsausstellung durch Let's Encrypt untersagt. Für diese gibt es keine Ausnahmen, sie wurden alle zurückgezogen.

Mit dieser Entscheidung hat Let's Encrypt gegen die bestehenden Regeln verstoßen. Das ist allerdings kein völlig ungewöhnlicher Vorgang. Immer wieder halten sich Zertifizierungsstellen nicht an die vergleichsweise kurzen Fristen. So gab es im vergangenen Jahr einen Vorfall, bei dem Millionen von Zertifikaten bei der Seriennummer ein Bit zu wenig an Zufallsdaten enthielten. Streng genommen hätten alle betroffenen Zertifizierungsstellen diese Zertifikate innerhalb von fünf Tagen zurückziehen müssen, aber das hätte vermutlich einen Großteil des Internets lahmgelegt, obwohl kaum ein Risiko durch diese Zertifikate bestand.

Ebenso wie bei den betroffenen Let's-Encrypt-Zertifikaten ist das Risiko vergleichsweise gering. Es geht nur darum, dass ein Check des CAA-Records nicht zum richtigen Zeitpunkt durchgeführt wurde. Mittels CAA kann man festlegen, dass für eine Domain nur bestimmte Zertifizierungsstellen Zertifikate ausstellen dürfen.

Konkret heißt das etwa: Es wäre denkbar, dass ein Webseiteninhaber einen CAA-Record gesetzt hat, der die Ausstellung für Let's Encrypt verbietet und dann trotzdem ein Let's-Encrypt-Zertifikat beantragt hat. Er müsste aber auch den Record zwischenzeitlich wieder umgestellt haben, da Let's Encrypt ja die Zertifikate, für die es aktuell einen CAA-Record gibt, der keine Let's-Encrypt-Ausstellung erlaubt, auf jeden Fall zurückgezogen hat.

Was der Bug von Let's Encrypt zu keinem Zeitpunkt ermöglicht hat, ist, dass Personen für Domains, die ihnen nicht gehören, Zertifikate ausstellen. Die Validierung der Domain wurde bei allen Zertifikaten durchgeführt.

Regeln für die Regelverletzung

Von Mozilla gibt es Erläuterungen zu solchen Situationen. Dort steht, dass der Browserhersteller anerkennt, dass in einigen außergewöhnlichen Situationen das Einhalten der Regeln zu viel Schaden führen kann. Mozilla verlangt in einem solchen Fall eine detaillierte Erläuterung zu dem Vorfall. Im Bugtracker von Mozilla hat Let's Encrypt eine solche vorgelegt, es gibt aber bereits eine Diskussion dazu und Kritik von Google-Mitarbeiter Ryan Sleevi.

Ob Let's Encrypt die Zertifikate nun bis zu ihrem Laufzeitende gültig bleiben lässt oder sie nach einiger Zeit doch zurückzieht, ist bisher unklar. Weiterhin gilt daher: Wer Let's Encrypt auf seiner Webseite einsetzt, sollte prüfen, ob er betroffen ist und im Zweifel eine Neuausstellung der Zertifikate anstoßen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

chefin 09. Mär 2020 / Themenstart

Übersetzt willst du uns sagen, das du keine Ahnung hattest wie deine Zertifikate den im...

nirgendwer 05. Mär 2020 / Themenstart

Danke für die Rückmeldung. Aber du musst dich nicht entschuldigen. Man vertut sich halt...

Poe's Law 05. Mär 2020 / Themenstart

Let's Encrypt hat über 1 Milliarde Zertifikate bisher rausgegeben und es sind rund 120...

felix.schwarz 05. Mär 2020 / Themenstart

certbot 1.3 prüft selbstständige auf zurückgezogene Zertifikate (OCSP). Sollte ein...

Kommentieren


Folgen Sie uns
       


Ninm Its OK - Test

Der It's OK von Ninm ist ein tragbarer Kassettenspieler mit eingebautem Bluetooth-Transmitter. Insgesamt ist das Gerät eine Enttäuschung, bessere Modelle gibt es auf dem Gebrauchtmarkt.

Ninm Its OK - Test Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    Bodyhacking: Prothese statt Drehregler
    Bodyhacking
    Prothese statt Drehregler

    Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
    Ein Interview von Tobias Költzsch


      Schenker Via 14 im Test: Leipziger Langläufer-Laptop
      Schenker Via 14 im Test
      Leipziger Langläufer-Laptop

      Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
      Ein Test von Marc Sauter

      1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
      2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
      3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

        •  /