CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Artikel veröffentlicht am ,
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange.
Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons/CC-BY 3.0)

Let's Encrypt zieht nun doch nicht alle drei Millionen Zertifikate zurück, die von einem Fehler bei der Zertifikatsausstellung betroffen waren. Offenbar befürchtete man zu viele Probleme und entschied sich daher, zunächst nur einen Teil der betroffenen Zertifikate zurückziehen.

Stellenmarkt
  1. Microsoft Dynamics Business Central Developer / Programmierer (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen
  2. IT-Spezialist (w/m/d)
    Kölner Verkehrs-Betriebe AG, Köln
Detailsuche

Let's Encrypt hatte vor wenigen Tagen festgestellt, dass bei etwa drei Millionen Zertifikaten ein Fehler beim Prüfen des CAA-Records gemacht wurde. Nach den Regeln des CA/Browser-Forums müssten diese Zertifikate innerhalb von fünf Tagen zurückgezogen werden.

1,7 Millionen Zertifikate zurückgezogen, 1,3 Millionen bleiben gültig

In einem Foreneintrag erläutert Let's-Encrypt-Mitarbeiter Josh Ash die Entscheidung. Demnach wurden 1,7 Millionen Zertifikate in der vergangenen Nacht zurückgezogen. Golem.de hat stichprobenhaft einige Zertifikate geprüft, es scheint so, dass bei allen Webseiten, die ihre Zertifikate bereits getauscht haben, die alten Zertifikate nun zurückgezogen sind. Bei Webseiten, die noch betroffene Zertifikate einsetzen, sind diese weiterhin gültig.

Es gibt aber noch einen Spezialfall: Bei 445 Zertifikaten wurde zwischenzeitlich ein CAA-Record gesetzt, der eine Zertifikatsausstellung durch Let's Encrypt untersagt. Für diese gibt es keine Ausnahmen, sie wurden alle zurückgezogen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. OpenShift Installation & Administration
    31. Januar-2. Februar 2022, online
Weitere IT-Trainings

Mit dieser Entscheidung hat Let's Encrypt gegen die bestehenden Regeln verstoßen. Das ist allerdings kein völlig ungewöhnlicher Vorgang. Immer wieder halten sich Zertifizierungsstellen nicht an die vergleichsweise kurzen Fristen. So gab es im vergangenen Jahr einen Vorfall, bei dem Millionen von Zertifikaten bei der Seriennummer ein Bit zu wenig an Zufallsdaten enthielten. Streng genommen hätten alle betroffenen Zertifizierungsstellen diese Zertifikate innerhalb von fünf Tagen zurückziehen müssen, aber das hätte vermutlich einen Großteil des Internets lahmgelegt, obwohl kaum ein Risiko durch diese Zertifikate bestand.

Ebenso wie bei den betroffenen Let's-Encrypt-Zertifikaten ist das Risiko vergleichsweise gering. Es geht nur darum, dass ein Check des CAA-Records nicht zum richtigen Zeitpunkt durchgeführt wurde. Mittels CAA kann man festlegen, dass für eine Domain nur bestimmte Zertifizierungsstellen Zertifikate ausstellen dürfen.

Konkret heißt das etwa: Es wäre denkbar, dass ein Webseiteninhaber einen CAA-Record gesetzt hat, der die Ausstellung für Let's Encrypt verbietet und dann trotzdem ein Let's-Encrypt-Zertifikat beantragt hat. Er müsste aber auch den Record zwischenzeitlich wieder umgestellt haben, da Let's Encrypt ja die Zertifikate, für die es aktuell einen CAA-Record gibt, der keine Let's-Encrypt-Ausstellung erlaubt, auf jeden Fall zurückgezogen hat.

Was der Bug von Let's Encrypt zu keinem Zeitpunkt ermöglicht hat, ist, dass Personen für Domains, die ihnen nicht gehören, Zertifikate ausstellen. Die Validierung der Domain wurde bei allen Zertifikaten durchgeführt.

Regeln für die Regelverletzung

Von Mozilla gibt es Erläuterungen zu solchen Situationen. Dort steht, dass der Browserhersteller anerkennt, dass in einigen außergewöhnlichen Situationen das Einhalten der Regeln zu viel Schaden führen kann. Mozilla verlangt in einem solchen Fall eine detaillierte Erläuterung zu dem Vorfall. Im Bugtracker von Mozilla hat Let's Encrypt eine solche vorgelegt, es gibt aber bereits eine Diskussion dazu und Kritik von Google-Mitarbeiter Ryan Sleevi.

Ob Let's Encrypt die Zertifikate nun bis zu ihrem Laufzeitende gültig bleiben lässt oder sie nach einiger Zeit doch zurückzieht, ist bisher unklar. Weiterhin gilt daher: Wer Let's Encrypt auf seiner Webseite einsetzt, sollte prüfen, ob er betroffen ist und im Zweifel eine Neuausstellung der Zertifikate anstoßen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


chefin 09. Mär 2020

Übersetzt willst du uns sagen, das du keine Ahnung hattest wie deine Zertifikate den im...

nirgendwer 05. Mär 2020

Danke für die Rückmeldung. Aber du musst dich nicht entschuldigen. Man vertut sich halt...

Poe's Law 05. Mär 2020

Let's Encrypt hat über 1 Milliarde Zertifikate bisher rausgegeben und es sind rund 120...

felix.schwarz 05. Mär 2020

certbot 1.3 prüft selbstständige auf zurückgezogene Zertifikate (OCSP). Sollte ein...



Aktuell auf der Startseite von Golem.de
600 Millionen Euro
Bundeswehr lässt Funkgeräte von 1982 nachbauen

Das SEM 80/90 mit 16 KBit/s wird exakt nachgebaut, zum Stückpreis von rund 20.000 Euro. Das Retrogerät geht für die Bundeswehr in Serie.

600 Millionen Euro: Bundeswehr lässt Funkgeräte von 1982 nachbauen
Artikel
  1. Foundation bei Apple TV+: Die unverfilmbare Asimov-Trilogie grandios verfilmt
    Foundation bei Apple TV+
    Die unverfilmbare Asimov-Trilogie grandios verfilmt

    Gegen die Welt von Asimovs Foundation-Trilogie wirkt Game of Thrones überschaubar. Apple hat mit einem enormen Budget eine enorme Science-Fiction-Serie geschaffen.
    Eine Rezension von Peter Osteried

  2. Pakete: DHL-Preiserhöhung könnte Amazon Prime verteuern
    Pakete
    DHL-Preiserhöhung könnte Amazon Prime verteuern

    DHL Paket erhöht die Preise für Geschäftskunden. Das könnte Auswirkungen auf den Preis von Amazon Prime haben.

  3. Security: Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
    Security
    Forscher veröffentlicht iOS-Lücken aus Ärger über Apple

    Das Bug-Bounty-Programm von Apple ist vielfach kritisiert worden. Ein Forscher veröffentlicht seine Lücken deshalb nun ohne Patch.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung G7 31,5" WQHD 240Hz 499€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • Samsung SSD 980 Pro 1TB 150,50€ • Dualsense-Ladestation 35,99€ • iPhone 13 erschienen ab 799€ • Sega Discovery Sale bei GP (u. a. Yakuza 0 4,50€) [Werbung]
    •  /