• IT-Karriere:
  • Services:

HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

Artikel veröffentlicht am , Hanno Böck
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate.
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate. (Bild: Certbot)

Sicherheitsprobleme bei einer Methode zum Prüfen von Domains bei Let's Encrypt führen dazu, dass diese bald abgeschaltet wird. Nutzer, die bei Let's Encrypt eine Mailadresse hinterlegt haben und diese Methode noch nutzen, erhielten eine entsprechende Warnung. Das sind nicht wenige, denn alte Versionen der Certbot-Software nutzten die sogenannte TLS-SNI-01-Validierung standardmäßig. In der stabilen Debian-Version Stretch ist das beispielsweise nach wie vor der Fall.

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München, Regensburg
  2. ADG Apotheken-Dienstleistungsgesellschaft mbH, Bad Kreuznach

Let's Encrypt nutzt das sogenannte ACME-Protokoll, mit dem Zertifikate automatisiert ausgestellt werden können. ACME unterstützt verschiedene Verfahren, um zu prüfen, ob eine Domain einem Nutzer gehört. Bei der TLS-SNI-01-Validierung wird der Besitzer einer Domain mittels der TLS-Erweiterung SNI geprüft. Der Domainbesitzer muss dabei ein bestimmtes selbstsigniertes Zertifikat auf Anfrage des Servers kurzzeitig ausliefern.

TLS-SNI-01 führt bei vielen Hostern zu Sicherheitslücke

Das Problem dabei: Im Januar 2018 fand der Sicherheitsforscher Frans Rosén heraus, dass es bei vielen Hosting-Anbietern möglich sei, ein solches Zertifikat auch im Namen von anderen Usern auszuliefern. Das war beispielsweise bei Heroku und Amazon Cloudfront möglich. Somit hätte ein Nutzer sich unberechtigterweise ein Zertifikat für eine fremde Domain ausstellen lassen können.

Zwar konnten Heroku und Amazon dies durch Änderungen an ihren Setups verhindern, aber es erschien naheliegend, dass ähnliche Probleme auch bei anderen Anbietern aufträten. Daher entschied Let's Encrypt sich, diese Methode komplett abzuschaffen. Für eine Übergangszeit erlaubte man sie in Ausnahmefällen. Insbesondere waren bisher noch Zertifikatserneuerungen möglich, bestehende Setups funktionierten also weiterhin.

Abschaltung am 13. Februar

Damit soll jetzt aber endgültig Schluss sein. Am 13. Februar wird die veraltete Methode abgeschaltet. Alle Nutzer müssen daher auf eine der anderen Validierungsmethoden umsteigen. Möglich ist die Domainprüfung alternativ über HTTP, DNS und neuerdings auch über die TLS-Erweiterung ALPN.

Für einige Nutzer heißt das, dass ihre bisherigen Setups, die Zertifikate regelmäßig automatisch erneuern, nicht mehr funktionieren. Die gängigste ACME-Software ist ein Programm namens Certbot, das von der EFF entwickelt wird. Versionen älter als 0.21 unterstützen nur die nun veraltete TLS-SNI-01-Methode. Die Version 0.21 wurde im Januar 2018 veröffentlicht.

Certbot in Debian unterstützt bisher nur veraltete Methode

In der Stable-Version von Debian Linux wird zur Zeit noch eine deutlich ältere Version von Certbot (0.10.2) angeboten. Auf dieses Problem hingewiesen wurde Debian bereits in einem Bugreport Ende Januar 2018. In einem weiteren Bug wurde diskutiert, ob eine neuere Version von Certbot in die Stable-Distribution aufgenommen werden könne, passiert ist es jedoch bislang nicht.

Bei Debian ist es in aller Regel unüblich, Updates von Software in die Stable-Distribution aufzunehmen. Normalerweise werden nur wichtige Bugfixes zurückportiert. In diesem Fall dürfte es aber wenig Sinn machen, bei der alten Version zu bleiben, da diese in Kürze nutzlos ist. Debian-Anwender können sich vorläufig behelfen, indem sie eine neuere Version von Certbot aus den sogenannten Backports installieren.

Es dürfte am 13. Februar einige Setups geben, die Zertifikate nicht mehr erneuern. Zwar hat Let's Encrypt alle Nutzer, die einen Account mit E-Mail-Adresse haben und die TLS-SNI-01-Methode noch nutzen, gewarnt. Doch es ist auch möglich, Zertifikate ohne Angabe einer Mailadresse zu erzeugen. Einigen Nutzern dürfte also eine unangenehme Überraschung bevorstehen, wenn die eigene Webseite plötzlich eine Warnung vor einem abgelaufenen Zertifikat anzeigt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Bigfoo29 18. Feb 2019

Ja, der "http-01" ist eine Möglichkeit. Wobei ich nicht weiß, ob das Sicherheitstechnisch...

RipClaw 23. Jan 2019

Die 1-Click Lösungen die ich so kenne verwenden meistens eigene Implementationen statt...

RipClaw 23. Jan 2019

letsencrypt-auto ist ein Wrapper um den certbot und installiert dir den certbot. Ist...

Schnarchnase 22. Jan 2019

Man braucht überhaupt nicht die Version aus den Backports, auch die alte aus dem Stable...


Folgen Sie uns
       


Die Entstehung von Unix (Golem Geschichte)

Zwei Programmierer entwarfen nahezu im Alleingang eines der wichtigsten Betriebssysteme.

Die Entstehung von Unix (Golem Geschichte) Video aufrufen
Energiewende: Schafft endlich das Brennstoffzellenauto ab!
Energiewende
Schafft endlich das Brennstoffzellenauto ab!

Sie sind teurer und leistungsschwächer als E-Autos und brauchen dreimal so viel Strom. Der Akku hat gewonnen. Wasserstoff sollte für Chemie benutzt werden.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Hyundai Nexo Wasserdampf im Rückspiegel
  2. Brennstoffzellenauto Bayern will 100 Wasserstofftankstellen bauen
  3. Elektromobilität Daimler und Volvo wollen Brennstoffzellen für Lkw entwickeln

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    Zukunft in Serien: Realistischer, als uns lieb sein kann
    Zukunft in Serien
    Realistischer, als uns lieb sein kann

    Ältere Science-Fiction-Produktionen haben oft eher unrealistische Szenarien entworfen. Die guten neueren, wie Black Mirror, Years and Years und Upload nehmen hingegen Technik aus dem Jetzt und denken sie weiter.
    Von Peter Osteried

    1. Power-to-Liquid Sunfire plant E-Fuels-Produktion in Norwegen
    2. Gebäudetechnik Thyssen-Krupp baut neuen Aufzugsturm
    3. Airbus Elektronische Nasen sollen Sprengstoff aufspüren

      •  /