CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Artikel veröffentlicht am ,
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange.
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons/CC-BY 3.0)

Let's Encrypt zieht nun doch nicht alle drei Millionen Zertifikate zurück, die von einem Fehler bei der Zertifikatsausstellung betroffen waren. Offenbar befürchtete man zu viele Probleme und entschied sich daher, zunächst nur einen Teil der betroffenen Zertifikate zurückziehen.

Stellenmarkt
  1. Senior Product Owner KI & Machine Learning (w/m/d)
    Dataport, verschiedene Standorte
  2. Mitarbeiter (m/w/d) IT-Service-Cluster
    Amprion GmbH, Dortmund
Detailsuche

Let's Encrypt hatte vor wenigen Tagen festgestellt, dass bei etwa drei Millionen Zertifikaten ein Fehler beim Prüfen des CAA-Records gemacht wurde. Nach den Regeln des CA/Browser-Forums müssten diese Zertifikate innerhalb von fünf Tagen zurückgezogen werden.

1,7 Millionen Zertifikate zurückgezogen, 1,3 Millionen bleiben gültig

In einem Foreneintrag erläutert Let's-Encrypt-Mitarbeiter Josh Ash die Entscheidung. Demnach wurden 1,7 Millionen Zertifikate in der vergangenen Nacht zurückgezogen. Golem.de hat stichprobenhaft einige Zertifikate geprüft, es scheint so, dass bei allen Webseiten, die ihre Zertifikate bereits getauscht haben, die alten Zertifikate nun zurückgezogen sind. Bei Webseiten, die noch betroffene Zertifikate einsetzen, sind diese weiterhin gültig.

Es gibt aber noch einen Spezialfall: Bei 445 Zertifikaten wurde zwischenzeitlich ein CAA-Record gesetzt, der eine Zertifikatsausstellung durch Let's Encrypt untersagt. Für diese gibt es keine Ausnahmen, sie wurden alle zurückgezogen.

Golem Karrierewelt
  1. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    30.05.-03.06.2022, Virtuell
  2. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    02./03.06.2022, Virtuell
Weitere IT-Trainings

Mit dieser Entscheidung hat Let's Encrypt gegen die bestehenden Regeln verstoßen. Das ist allerdings kein völlig ungewöhnlicher Vorgang. Immer wieder halten sich Zertifizierungsstellen nicht an die vergleichsweise kurzen Fristen. So gab es im vergangenen Jahr einen Vorfall, bei dem Millionen von Zertifikaten bei der Seriennummer ein Bit zu wenig an Zufallsdaten enthielten. Streng genommen hätten alle betroffenen Zertifizierungsstellen diese Zertifikate innerhalb von fünf Tagen zurückziehen müssen, aber das hätte vermutlich einen Großteil des Internets lahmgelegt, obwohl kaum ein Risiko durch diese Zertifikate bestand.

Ebenso wie bei den betroffenen Let's-Encrypt-Zertifikaten ist das Risiko vergleichsweise gering. Es geht nur darum, dass ein Check des CAA-Records nicht zum richtigen Zeitpunkt durchgeführt wurde. Mittels CAA kann man festlegen, dass für eine Domain nur bestimmte Zertifizierungsstellen Zertifikate ausstellen dürfen.

Konkret heißt das etwa: Es wäre denkbar, dass ein Webseiteninhaber einen CAA-Record gesetzt hat, der die Ausstellung für Let's Encrypt verbietet und dann trotzdem ein Let's-Encrypt-Zertifikat beantragt hat. Er müsste aber auch den Record zwischenzeitlich wieder umgestellt haben, da Let's Encrypt ja die Zertifikate, für die es aktuell einen CAA-Record gibt, der keine Let's-Encrypt-Ausstellung erlaubt, auf jeden Fall zurückgezogen hat.

Was der Bug von Let's Encrypt zu keinem Zeitpunkt ermöglicht hat, ist, dass Personen für Domains, die ihnen nicht gehören, Zertifikate ausstellen. Die Validierung der Domain wurde bei allen Zertifikaten durchgeführt.

Regeln für die Regelverletzung

Von Mozilla gibt es Erläuterungen zu solchen Situationen. Dort steht, dass der Browserhersteller anerkennt, dass in einigen außergewöhnlichen Situationen das Einhalten der Regeln zu viel Schaden führen kann. Mozilla verlangt in einem solchen Fall eine detaillierte Erläuterung zu dem Vorfall. Im Bugtracker von Mozilla hat Let's Encrypt eine solche vorgelegt, es gibt aber bereits eine Diskussion dazu und Kritik von Google-Mitarbeiter Ryan Sleevi.

Ob Let's Encrypt die Zertifikate nun bis zu ihrem Laufzeitende gültig bleiben lässt oder sie nach einiger Zeit doch zurückzieht, ist bisher unklar. Weiterhin gilt daher: Wer Let's Encrypt auf seiner Webseite einsetzt, sollte prüfen, ob er betroffen ist und im Zweifel eine Neuausstellung der Zertifikate anstoßen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 09. Mär 2020

Übersetzt willst du uns sagen, das du keine Ahnung hattest wie deine Zertifikate den im...

nirgendwer 05. Mär 2020

Danke für die Rückmeldung. Aber du musst dich nicht entschuldigen. Man vertut sich halt...

Poe's Law 05. Mär 2020

Let's Encrypt hat über 1 Milliarde Zertifikate bisher rausgegeben und es sind rund 120...

felix.schwarz 05. Mär 2020

certbot 1.3 prüft selbstständige auf zurückgezogene Zertifikate (OCSP). Sollte ein...



Aktuell auf der Startseite von Golem.de
Alterskontrolle und Netzsperren
Es geht um viel mehr als nur die Chatkontrolle

Neben der umstrittenen Chatkontrolle enthält der Gesetzentwurf der EU-Kommission auch Vorgaben zur Altersverifkation, Netzsperren und Appstores.
Eine Analyse von Moritz Tremmel und Friedhelm Greis

Alterskontrolle und Netzsperren: Es geht um viel mehr als nur die Chatkontrolle
Artikel
  1. Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
    Liberty Lifter
    US-Militär lässt ein eigenes Ekranoplan entwickeln

    In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

  2. Amazons E-Book-Reader: Alte Kindle-Modelle verlieren Buchkauf und -ausleihe
    Amazons E-Book-Reader
    Alte Kindle-Modelle verlieren Buchkauf und -ausleihe

    Amazon streicht in Kürze auf fünf älteren Kindle-Modellen alle Funktionen, die mit Amazons E-Book-Store zusammenhängen.

  3. Pokémon Go: Niantic entwickelt eigenes soziales Netzwerk
    Pokémon Go
    Niantic entwickelt eigenes soziales Netzwerk

    Unter dem Namen Campfire arbeitet Niantic an einem sozialen Netzwerk, in dem sich die Spieler von Pokémon Go treffen können.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Days of Play: (u. a. PS5-Controller (alle Farben) günstig wie nie: 49,99€, PS5-Headset Sony Pulse 3D günstig wie nie: 79,99€) • Viewsonic Gaming-Monitore günstiger • Mindstar (u. a. MSI RTX 3090 24GB 1.599€) • Xbox Series X bestellbar • Samsung SSD 1TB 79€ [Werbung]
    •  /