Abo
  • Services:

HTTPS: Let's Encrypt schaltet alte Validierungsmethode ab

Let's Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem - beispielsweise für Debian-Anwender.

Artikel veröffentlicht am , Hanno Böck
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate.
Wer eine alte Version der Certbot-Software einsetzt, hat bald ein Problem und bekommt keine neuen Zertifikate. (Bild: Certbot)

Sicherheitsprobleme bei einer Methode zum Prüfen von Domains bei Let's Encrypt führen dazu, dass diese bald abgeschaltet wird. Nutzer, die bei Let's Encrypt eine Mailadresse hinterlegt haben und diese Methode noch nutzen, erhielten eine entsprechende Warnung. Das sind nicht wenige, denn alte Versionen der Certbot-Software nutzten die sogenannte TLS-SNI-01-Validierung standardmäßig. In der stabilen Debian-Version Stretch ist das beispielsweise nach wie vor der Fall.

Stellenmarkt
  1. Bosch Gruppe, Abstatt
  2. XENON Automatisierungstechnik GmbH, Dresden

Let's Encrypt nutzt das sogenannte ACME-Protokoll, mit dem Zertifikate automatisiert ausgestellt werden können. ACME unterstützt verschiedene Verfahren, um zu prüfen, ob eine Domain einem Nutzer gehört. Bei der TLS-SNI-01-Validierung wird der Besitzer einer Domain mittels der TLS-Erweiterung SNI geprüft. Der Domainbesitzer muss dabei ein bestimmtes selbstsigniertes Zertifikat auf Anfrage des Servers kurzzeitig ausliefern.

TLS-SNI-01 führt bei vielen Hostern zu Sicherheitslücke

Das Problem dabei: Im Januar 2018 fand der Sicherheitsforscher Frans Rosén heraus, dass es bei vielen Hosting-Anbietern möglich sei, ein solches Zertifikat auch im Namen von anderen Usern auszuliefern. Das war beispielsweise bei Heroku und Amazon Cloudfront möglich. Somit hätte ein Nutzer sich unberechtigterweise ein Zertifikat für eine fremde Domain ausstellen lassen können.

Zwar konnten Heroku und Amazon dies durch Änderungen an ihren Setups verhindern, aber es erschien naheliegend, dass ähnliche Probleme auch bei anderen Anbietern aufträten. Daher entschied Let's Encrypt sich, diese Methode komplett abzuschaffen. Für eine Übergangszeit erlaubte man sie in Ausnahmefällen. Insbesondere waren bisher noch Zertifikatserneuerungen möglich, bestehende Setups funktionierten also weiterhin.

Abschaltung am 13. Februar

Damit soll jetzt aber endgültig Schluss sein. Am 13. Februar wird die veraltete Methode abgeschaltet. Alle Nutzer müssen daher auf eine der anderen Validierungsmethoden umsteigen. Möglich ist die Domainprüfung alternativ über HTTP, DNS und neuerdings auch über die TLS-Erweiterung ALPN.

Für einige Nutzer heißt das, dass ihre bisherigen Setups, die Zertifikate regelmäßig automatisch erneuern, nicht mehr funktionieren. Die gängigste ACME-Software ist ein Programm namens Certbot, das von der EFF entwickelt wird. Versionen älter als 0.21 unterstützen nur die nun veraltete TLS-SNI-01-Methode. Die Version 0.21 wurde im Januar 2018 veröffentlicht.

Certbot in Debian unterstützt bisher nur veraltete Methode

In der Stable-Version von Debian Linux wird zur Zeit noch eine deutlich ältere Version von Certbot (0.10.2) angeboten. Auf dieses Problem hingewiesen wurde Debian bereits in einem Bugreport Ende Januar 2018. In einem weiteren Bug wurde diskutiert, ob eine neuere Version von Certbot in die Stable-Distribution aufgenommen werden könne, passiert ist es jedoch bislang nicht.

Bei Debian ist es in aller Regel unüblich, Updates von Software in die Stable-Distribution aufzunehmen. Normalerweise werden nur wichtige Bugfixes zurückportiert. In diesem Fall dürfte es aber wenig Sinn machen, bei der alten Version zu bleiben, da diese in Kürze nutzlos ist. Debian-Anwender können sich vorläufig behelfen, indem sie eine neuere Version von Certbot aus den sogenannten Backports installieren.

Es dürfte am 13. Februar einige Setups geben, die Zertifikate nicht mehr erneuern. Zwar hat Let's Encrypt alle Nutzer, die einen Account mit E-Mail-Adresse haben und die TLS-SNI-01-Methode noch nutzen, gewarnt. Doch es ist auch möglich, Zertifikate ohne Angabe einer Mailadresse zu erzeugen. Einigen Nutzern dürfte also eine unangenehme Überraschung bevorstehen, wenn die eigene Webseite plötzlich eine Warnung vor einem abgelaufenen Zertifikat anzeigt.



Anzeige
Hardware-Angebote
  1. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)
  2. 119,90€
  3. 216,50€

Bigfoo29 18. Feb 2019 / Themenstart

Ja, der "http-01" ist eine Möglichkeit. Wobei ich nicht weiß, ob das Sicherheitstechnisch...

RipClaw 23. Jan 2019 / Themenstart

Die 1-Click Lösungen die ich so kenne verwenden meistens eigene Implementationen statt...

RipClaw 23. Jan 2019 / Themenstart

letsencrypt-auto ist ein Wrapper um den certbot und installiert dir den certbot. Ist...

Schnarchnase 22. Jan 2019 / Themenstart

Man braucht überhaupt nicht die Version aus den Backports, auch die alte aus dem Stable...

Kommentieren


Folgen Sie uns
       


Nubia Red Magic Mars - Hands on (CES 2019)

Das Red Magic Mars von Nubia ist ein Gaming-Smartphone mit guter Hardware - und einem ziemlich guten Preis.

Nubia Red Magic Mars - Hands on (CES 2019) Video aufrufen
Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

    •  /