Let's Encrypt: Was Admins heute tun müssen

Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.

Eine Anleitung von veröffentlicht am
Heutige Reaktion nötig: Let's Encrypt zieht einige Zertifikate zurück.
Heutige Reaktion nötig: Let's Encrypt zieht einige Zertifikate zurück. (Bild: Dafne Cholet/Wikimedia Commons/CC-BY 2.0)

Die Zertifizierungsstelle Let's Encrypt hat vor einigen Tagen angekündigt, Zertifikate zurückzuziehen, die mittels der Validierungsmethode TLS-ALPN-01 erstellt wurden. Der Grund dafür ist wohl, dass bei der Prüfung einige Regelungen nicht eingehalten wurden, genaue Details sind bislang nicht bekannt.

Stellenmarkt
  1. Microsoft Office 365 & Power Platform Developer (m/w)
    Marc Cain GmbH, Bodelshausen
  2. Angehende*r Projektleiter*in - IT-Management und Digitalisierung
    Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, Sankt Augustin
Detailsuche

Für Administratoren, deren Server Let's-Encrypt-Zertifikate nutzen, stellt sich nun die Frage, ob sie betroffen sind. Die Zertifikate werden am heutigen Freitag, dem 28. Januar, nach deutscher Zeit um 17 Uhr zurückgezogen.

Let's Encrypt hat zwar an die Kontaktmailadressen von betroffenen Accounts Warnungen geschickt, doch die Angabe einer Mailadresse ist bei der Zertifikatsausstellung optional. Nutzer, die keine Mailadresse angegeben haben, konnten daher nicht informiert werden.

Online-API und Liste betroffener Zertifikate

Let's Encrypt hat zwischenzeitlich eine API und eine Liste der betroffenen Zertifikate bereitgestellt. Damit ist es für Betroffene einfach möglich, zu prüfen, ob ihre Zertifikate in der Liste enthalten sind.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Drei-Tage-Workshop
    23.-25.01.2023, Virtuell
Weitere IT-Trainings

Wer einen einzelnen Host prüfen möchte, kann dies mittels eines POST-Requests an die API tun. Dafür kann man beispielsweise das Kommandozeilentool Curl einsetzen:

  1. curl -X POST -d 'fqdn=letsencrypt.org' https://tls-alpn-check.letsencrypt.org/checkhost

Die Ausgabe teilt einem mit, ob man betroffen ist. Dabei wird sowohl geprüft, ob für den Host eines der betroffenen Zertifikate ausgestellt wurde, als auch, ob dies weiterhin auf dem Host läuft.

Alternativ erlaubt Let's Encrypt auch die Angabe einer Zertifikatsseriennummer. Jedes TLS-Zertifikat enthält eine solche Seriennummer, diese sind zufällig gewählt und sind so lang, dass es keine Duplikate gibt und diese damit ein Zertifikat eindeutig identifizieren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Seriennummer eines Zertifikats kann man beispielsweise mit OpenSSL herausfinden. Wenn man ein Zertifikat lokal in der Datei test.crt vorliegen hat, lautet der entsprechende Befehl etwa:

  1. openssl x509 -in test.crt -noout -serial

Die Ausgabe sieht beispielsweise so aus:

  1. serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47

Diese kann man dann über die API prüfen. Let's Encrypt verwendet in den Beispielen kleingeschriebene Seriennummern, OpenSSL verwendet Großschreibung, die API akzeptiert aber beides:

  1. curl -X POST -d 'serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47' https://tls-alpn-check.letsencrypt.org/checkserial

Beide Funktionen können auch über ein Onlineformular bei Let's Encrypt genutzt werden.

Neben dieser API stellt Let's Encrypt auch eine Liste der betroffenen Zertifikate als gepackte CSV-Datei bereit. Die kann man herunterladen und anschließend etwa darin nach einem Hostnamen oder einer Seriennummer suchen. Mit dem Befehl zgrep kann man dies auch direkt ohne Entpacken der Datei tun, beispielsweise:

  1. zgrep golem.de tls-alpn-01-affected-certs-by-regID.csv.gz
  2. zgrep -i 45CD45814B7E04E6B78AB8F68770CC1E1C205D47 tls-alpn-01-affected-certs-by-regID.csv.gz

Beim Suchen nach Seriennummern sollte man beachten, dass diese hier ebenfalls in Kleinschreibung angegeben sind. Verwendet man den Parameter "-i" wird die Groß- oder Kleinschreibung beim Suchen ignoriert.

Wer betroffen ist, muss prüfen, wie er die jeweils verwendete ACME-Software anweisen kann, das Zertifikat außerplanmäßig zu erneuern.

Manche Software erneuert die Zertifikate automatisch, wenn sie via OCSP als zurückgezogen und nicht mehr gültig markiert sind. Der HTTPS-Server Caddy hat etwa eine entsprechende Funktion. Ganz ideal ist das nicht, da dies erst greift, wenn es eigentlich zu spät ist. Zumindest für einige Minuten wird in dem Fall ein ungültiges Zertifikat ausgeliefert.

Bisher gibt es keinen Mechanismus, mit dem eine Zertifizierungsstelle via ACME einer Clientsoftware automatisch mitteilen kann, dass es ersetzt werden soll. Es wird aber an einem entsprechenden Standard gearbeitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Tiles 30. Jan 2022

Ihr seht das falsch. Weil Wochenende ist läuft das ganze Gemecker dann einfach ins Leere...

Schnuffel 28. Jan 2022

Ja, die Mail hatte ich übersehen.

Arsenal 28. Jan 2022

wird man direkt von Let's Encrypt angeschrieben. Rechtzeitig vorher. War dann kein...



Aktuell auf der Startseite von Golem.de
Autoindustrie
Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
Von Wolfgang Gomoll

Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
Artikel
  1. Windenergie: Siemens Energy plant Übernahme von Gamesa
    Windenergie
    Siemens Energy plant Übernahme von Gamesa

    Der Konzern könnte die angeschlagene Windkraft-Tochter ganz übernehmen. Die Aktienkurse stiegen nach Bestätigung der Gerüchte an.

  2. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

  3. Ukrainekrieg: Warum das Internet in der Ukraine noch läuft
    Ukrainekrieg
    Warum das Internet in der Ukraine noch läuft

    Kaum Monopolisten, keine zentralen Internet-Exchanges, schnelle Reparaturen und Hardwarespenden: Das Netz der Ukraine ist sehr widerstandsfähig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /