CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Artikel veröffentlicht am ,
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange.
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons/CC-BY 3.0)

Let's Encrypt zieht nun doch nicht alle drei Millionen Zertifikate zurück, die von einem Fehler bei der Zertifikatsausstellung betroffen waren. Offenbar befürchtete man zu viele Probleme und entschied sich daher, zunächst nur einen Teil der betroffenen Zertifikate zurückziehen.

Stellenmarkt
  1. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
  2. Chief Information Officer - CIO (m/w/d)
    CONITAS GmbH, Karlsruhe
Detailsuche

Let's Encrypt hatte vor wenigen Tagen festgestellt, dass bei etwa drei Millionen Zertifikaten ein Fehler beim Prüfen des CAA-Records gemacht wurde. Nach den Regeln des CA/Browser-Forums müssten diese Zertifikate innerhalb von fünf Tagen zurückgezogen werden.

1,7 Millionen Zertifikate zurückgezogen, 1,3 Millionen bleiben gültig

In einem Foreneintrag erläutert Let's-Encrypt-Mitarbeiter Josh Ash die Entscheidung. Demnach wurden 1,7 Millionen Zertifikate in der vergangenen Nacht zurückgezogen. Golem.de hat stichprobenhaft einige Zertifikate geprüft, es scheint so, dass bei allen Webseiten, die ihre Zertifikate bereits getauscht haben, die alten Zertifikate nun zurückgezogen sind. Bei Webseiten, die noch betroffene Zertifikate einsetzen, sind diese weiterhin gültig.

Es gibt aber noch einen Spezialfall: Bei 445 Zertifikaten wurde zwischenzeitlich ein CAA-Record gesetzt, der eine Zertifikatsausstellung durch Let's Encrypt untersagt. Für diese gibt es keine Ausnahmen, sie wurden alle zurückgezogen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Mit dieser Entscheidung hat Let's Encrypt gegen die bestehenden Regeln verstoßen. Das ist allerdings kein völlig ungewöhnlicher Vorgang. Immer wieder halten sich Zertifizierungsstellen nicht an die vergleichsweise kurzen Fristen. So gab es im vergangenen Jahr einen Vorfall, bei dem Millionen von Zertifikaten bei der Seriennummer ein Bit zu wenig an Zufallsdaten enthielten. Streng genommen hätten alle betroffenen Zertifizierungsstellen diese Zertifikate innerhalb von fünf Tagen zurückziehen müssen, aber das hätte vermutlich einen Großteil des Internets lahmgelegt, obwohl kaum ein Risiko durch diese Zertifikate bestand.

Ebenso wie bei den betroffenen Let's-Encrypt-Zertifikaten ist das Risiko vergleichsweise gering. Es geht nur darum, dass ein Check des CAA-Records nicht zum richtigen Zeitpunkt durchgeführt wurde. Mittels CAA kann man festlegen, dass für eine Domain nur bestimmte Zertifizierungsstellen Zertifikate ausstellen dürfen.

Konkret heißt das etwa: Es wäre denkbar, dass ein Webseiteninhaber einen CAA-Record gesetzt hat, der die Ausstellung für Let's Encrypt verbietet und dann trotzdem ein Let's-Encrypt-Zertifikat beantragt hat. Er müsste aber auch den Record zwischenzeitlich wieder umgestellt haben, da Let's Encrypt ja die Zertifikate, für die es aktuell einen CAA-Record gibt, der keine Let's-Encrypt-Ausstellung erlaubt, auf jeden Fall zurückgezogen hat.

Was der Bug von Let's Encrypt zu keinem Zeitpunkt ermöglicht hat, ist, dass Personen für Domains, die ihnen nicht gehören, Zertifikate ausstellen. Die Validierung der Domain wurde bei allen Zertifikaten durchgeführt.

Regeln für die Regelverletzung

Von Mozilla gibt es Erläuterungen zu solchen Situationen. Dort steht, dass der Browserhersteller anerkennt, dass in einigen außergewöhnlichen Situationen das Einhalten der Regeln zu viel Schaden führen kann. Mozilla verlangt in einem solchen Fall eine detaillierte Erläuterung zu dem Vorfall. Im Bugtracker von Mozilla hat Let's Encrypt eine solche vorgelegt, es gibt aber bereits eine Diskussion dazu und Kritik von Google-Mitarbeiter Ryan Sleevi.

Ob Let's Encrypt die Zertifikate nun bis zu ihrem Laufzeitende gültig bleiben lässt oder sie nach einiger Zeit doch zurückzieht, ist bisher unklar. Weiterhin gilt daher: Wer Let's Encrypt auf seiner Webseite einsetzt, sollte prüfen, ob er betroffen ist und im Zweifel eine Neuausstellung der Zertifikate anstoßen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

chefin 09. Mär 2020

Übersetzt willst du uns sagen, das du keine Ahnung hattest wie deine Zertifikate den im...

nirgendwer 05. Mär 2020

Danke für die Rückmeldung. Aber du musst dich nicht entschuldigen. Man vertut sich halt...

Poe's Law 05. Mär 2020

Let's Encrypt hat über 1 Milliarde Zertifikate bisher rausgegeben und es sind rund 120...

felix.schwarz 05. Mär 2020

certbot 1.3 prüft selbstständige auf zurückgezogene Zertifikate (OCSP). Sollte ein...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /