Abo
  • Services:

HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

Artikel veröffentlicht am , Hanno Böck
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate.
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate. (Bild: Certbot)

Sicherheitsprobleme bei einer Methode zum Prüfen von Domains bei Let's Encrypt führen dazu, dass diese bald abgeschaltet wird. Nutzer, die bei Let's Encrypt eine Mailadresse hinterlegt haben und diese Methode noch nutzen, erhielten eine entsprechende Warnung. Das sind nicht wenige, denn alte Versionen der Certbot-Software nutzten die sogenannte TLS-SNI-01-Validierung standardmäßig. In der stabilen Debian-Version Stretch ist das beispielsweise nach wie vor der Fall.

Stellenmarkt
  1. über duerenhoff GmbH, Erding
  2. operational services GmbH & Co. KG, München

Let's Encrypt nutzt das sogenannte ACME-Protokoll, mit dem Zertifikate automatisiert ausgestellt werden können. ACME unterstützt verschiedene Verfahren, um zu prüfen, ob eine Domain einem Nutzer gehört. Bei der TLS-SNI-01-Validierung wird der Besitzer einer Domain mittels der TLS-Erweiterung SNI geprüft. Der Domainbesitzer muss dabei ein bestimmtes selbstsigniertes Zertifikat auf Anfrage des Servers kurzzeitig ausliefern.

TLS-SNI-01 führt bei vielen Hostern zu Sicherheitslücke

Das Problem dabei: Im Januar 2018 fand der Sicherheitsforscher Frans Rosén heraus, dass es bei vielen Hosting-Anbietern möglich sei, ein solches Zertifikat auch im Namen von anderen Usern auszuliefern. Das war beispielsweise bei Heroku und Amazon Cloudfront möglich. Somit hätte ein Nutzer sich unberechtigterweise ein Zertifikat für eine fremde Domain ausstellen lassen können.

Zwar konnten Heroku und Amazon dies durch Änderungen an ihren Setups verhindern, aber es erschien naheliegend, dass ähnliche Probleme auch bei anderen Anbietern aufträten. Daher entschied Let's Encrypt sich, diese Methode komplett abzuschaffen. Für eine Übergangszeit erlaubte man sie in Ausnahmefällen. Insbesondere waren bisher noch Zertifikatserneuerungen möglich, bestehende Setups funktionierten also weiterhin.

Abschaltung am 13. Februar

Damit soll jetzt aber endgültig Schluss sein. Am 13. Februar wird die veraltete Methode abgeschaltet. Alle Nutzer müssen daher auf eine der anderen Validierungsmethoden umsteigen. Möglich ist die Domainprüfung alternativ über HTTP, DNS und neuerdings auch über die TLS-Erweiterung ALPN.

Für einige Nutzer heißt das, dass ihre bisherigen Setups, die Zertifikate regelmäßig automatisch erneuern, nicht mehr funktionieren. Die gängigste ACME-Software ist ein Programm namens Certbot, das von der EFF entwickelt wird. Versionen älter als 0.21 unterstützen nur die nun veraltete TLS-SNI-01-Methode. Die Version 0.21 wurde im Januar 2018 veröffentlicht.

Certbot in Debian unterstützt bisher nur veraltete Methode

In der Stable-Version von Debian Linux wird zur Zeit noch eine deutlich ältere Version von Certbot (0.10.2) angeboten. Auf dieses Problem hingewiesen wurde Debian bereits in einem Bugreport Ende Januar 2018. In einem weiteren Bug wurde diskutiert, ob eine neuere Version von Certbot in die Stable-Distribution aufgenommen werden könne, passiert ist es jedoch bislang nicht.

Bei Debian ist es in aller Regel unüblich, Updates von Software in die Stable-Distribution aufzunehmen. Normalerweise werden nur wichtige Bugfixes zurückportiert. In diesem Fall dürfte es aber wenig Sinn machen, bei der alten Version zu bleiben, da diese in Kürze nutzlos ist. Debian-Anwender können sich vorläufig behelfen, indem sie eine neuere Version von Certbot aus den sogenannten Backports installieren.

Es dürfte am 13. Februar einige Setups geben, die Zertifikate nicht mehr erneuern. Zwar hat Let's Encrypt alle Nutzer, die einen Account mit E-Mail-Adresse haben und die TLS-SNI-01-Methode noch nutzen, gewarnt. Doch es ist auch möglich, Zertifikate ohne Angabe einer Mailadresse zu erzeugen. Einigen Nutzern dürfte also eine unangenehme Überraschung bevorstehen, wenn die eigene Webseite plötzlich eine Warnung vor einem abgelaufenen Zertifikat anzeigt.



Anzeige
Hardware-Angebote
  1. und bis zu 25€ Steam-Gutschein gratis erhalten
  2. 23,99€
  3. 119,90€

Entchen 11. Feb 2019 / Themenstart

Ich grabe mal den Thread aus, weil ich mir jetzt meinen Raspberry auch vorgenommen habe...

RipClaw 23. Jan 2019 / Themenstart

Die 1-Click Lösungen die ich so kenne verwenden meistens eigene Implementationen statt...

RipClaw 23. Jan 2019 / Themenstart

letsencrypt-auto ist ein Wrapper um den certbot und installiert dir den certbot. Ist...

Schnarchnase 22. Jan 2019 / Themenstart

Man braucht überhaupt nicht die Version aus den Backports, auch die alte aus dem Stable...

Kommentieren


Folgen Sie uns
       


Bewerbungsgespräch mit der KI vom DFKI - Bericht

Wir haben uns beim DFKI in Saarbrücken angesehen, wie das Training von Bewerbungsgesprächen mit einer Künstlichen Intelligenz funktioniert.

Bewerbungsgespräch mit der KI vom DFKI - Bericht Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Elektromobilität: Der Umweltbonus ist gescheitert
    Elektromobilität
    Der Umweltbonus ist gescheitert

    Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
    Eine Analyse von Dirk Kunde

    1. Elektromobilität Nikola Motors kündigt E-Lkw ohne Brennstoffzelle an
    2. SPNV Ceské dráhy will akkubetriebene Elektrotriebzüge testen
    3. Volkswagen Electrify America nutzt Tesla-Powerpacks zur Deckung von Spitzen

    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /