HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

Artikel veröffentlicht am , Hanno Böck
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate.
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate. (Bild: Certbot)

Sicherheitsprobleme bei einer Methode zum Prüfen von Domains bei Let's Encrypt führen dazu, dass diese bald abgeschaltet wird. Nutzer, die bei Let's Encrypt eine Mailadresse hinterlegt haben und diese Methode noch nutzen, erhielten eine entsprechende Warnung. Das sind nicht wenige, denn alte Versionen der Certbot-Software nutzten die sogenannte TLS-SNI-01-Validierung standardmäßig. In der stabilen Debian-Version Stretch ist das beispielsweise nach wie vor der Fall.

Stellenmarkt
  1. Full Stack Developer (m/w/d) im Bereich Java-Entwicklung
    SG Service IT GmbH, Osnabrück
  2. Mobile Developer Android (w/m/d)
    SMF GmbH, Dortmund
Detailsuche

Let's Encrypt nutzt das sogenannte ACME-Protokoll, mit dem Zertifikate automatisiert ausgestellt werden können. ACME unterstützt verschiedene Verfahren, um zu prüfen, ob eine Domain einem Nutzer gehört. Bei der TLS-SNI-01-Validierung wird der Besitzer einer Domain mittels der TLS-Erweiterung SNI geprüft. Der Domainbesitzer muss dabei ein bestimmtes selbstsigniertes Zertifikat auf Anfrage des Servers kurzzeitig ausliefern.

TLS-SNI-01 führt bei vielen Hostern zu Sicherheitslücke

Das Problem dabei: Im Januar 2018 fand der Sicherheitsforscher Frans Rosén heraus, dass es bei vielen Hosting-Anbietern möglich sei, ein solches Zertifikat auch im Namen von anderen Usern auszuliefern. Das war beispielsweise bei Heroku und Amazon Cloudfront möglich. Somit hätte ein Nutzer sich unberechtigterweise ein Zertifikat für eine fremde Domain ausstellen lassen können.

Zwar konnten Heroku und Amazon dies durch Änderungen an ihren Setups verhindern, aber es erschien naheliegend, dass ähnliche Probleme auch bei anderen Anbietern aufträten. Daher entschied Let's Encrypt sich, diese Methode komplett abzuschaffen. Für eine Übergangszeit erlaubte man sie in Ausnahmefällen. Insbesondere waren bisher noch Zertifikatserneuerungen möglich, bestehende Setups funktionierten also weiterhin.

Abschaltung am 13. Februar

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-25. März 2022, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Docker & Containers - From Zero to Hero
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Damit soll jetzt aber endgültig Schluss sein. Am 13. Februar wird die veraltete Methode abgeschaltet. Alle Nutzer müssen daher auf eine der anderen Validierungsmethoden umsteigen. Möglich ist die Domainprüfung alternativ über HTTP, DNS und neuerdings auch über die TLS-Erweiterung ALPN.

Für einige Nutzer heißt das, dass ihre bisherigen Setups, die Zertifikate regelmäßig automatisch erneuern, nicht mehr funktionieren. Die gängigste ACME-Software ist ein Programm namens Certbot, das von der EFF entwickelt wird. Versionen älter als 0.21 unterstützen nur die nun veraltete TLS-SNI-01-Methode. Die Version 0.21 wurde im Januar 2018 veröffentlicht.

Certbot in Debian unterstützt bisher nur veraltete Methode

In der Stable-Version von Debian Linux wird zur Zeit noch eine deutlich ältere Version von Certbot (0.10.2) angeboten. Auf dieses Problem hingewiesen wurde Debian bereits in einem Bugreport Ende Januar 2018. In einem weiteren Bug wurde diskutiert, ob eine neuere Version von Certbot in die Stable-Distribution aufgenommen werden könne, passiert ist es jedoch bislang nicht.

Bei Debian ist es in aller Regel unüblich, Updates von Software in die Stable-Distribution aufzunehmen. Normalerweise werden nur wichtige Bugfixes zurückportiert. In diesem Fall dürfte es aber wenig Sinn machen, bei der alten Version zu bleiben, da diese in Kürze nutzlos ist. Debian-Anwender können sich vorläufig behelfen, indem sie eine neuere Version von Certbot aus den sogenannten Backports installieren.

Es dürfte am 13. Februar einige Setups geben, die Zertifikate nicht mehr erneuern. Zwar hat Let's Encrypt alle Nutzer, die einen Account mit E-Mail-Adresse haben und die TLS-SNI-01-Methode noch nutzen, gewarnt. Doch es ist auch möglich, Zertifikate ohne Angabe einer Mailadresse zu erzeugen. Einigen Nutzern dürfte also eine unangenehme Überraschung bevorstehen, wenn die eigene Webseite plötzlich eine Warnung vor einem abgelaufenen Zertifikat anzeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Bigfoo29 18. Feb 2019

Ja, der "http-01" ist eine Möglichkeit. Wobei ich nicht weiß, ob das Sicherheitstechnisch...

RipClaw 23. Jan 2019

Die 1-Click Lösungen die ich so kenne verwenden meistens eigene Implementationen statt...

RipClaw 23. Jan 2019

letsencrypt-auto ist ein Wrapper um den certbot und installiert dir den certbot. Ist...

Schnarchnase 22. Jan 2019

Man braucht überhaupt nicht die Version aus den Backports, auch die alte aus dem Stable...



Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  2. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /