Let's Encrypt: Was Admins heute tun müssen
Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.

Die Zertifizierungsstelle Let's Encrypt hat vor einigen Tagen angekündigt, Zertifikate zurückzuziehen, die mittels der Validierungsmethode TLS-ALPN-01 erstellt wurden. Der Grund dafür ist wohl, dass bei der Prüfung einige Regelungen nicht eingehalten wurden, genaue Details sind bislang nicht bekannt.
Für Administratoren, deren Server Let's-Encrypt-Zertifikate nutzen, stellt sich nun die Frage, ob sie betroffen sind. Die Zertifikate werden am heutigen Freitag, dem 28. Januar, nach deutscher Zeit um 17 Uhr zurückgezogen.
Let's Encrypt hat zwar an die Kontaktmailadressen von betroffenen Accounts Warnungen geschickt, doch die Angabe einer Mailadresse ist bei der Zertifikatsausstellung optional. Nutzer, die keine Mailadresse angegeben haben, konnten daher nicht informiert werden.
Online-API und Liste betroffener Zertifikate
Let's Encrypt hat zwischenzeitlich eine API und eine Liste der betroffenen Zertifikate bereitgestellt. Damit ist es für Betroffene einfach möglich, zu prüfen, ob ihre Zertifikate in der Liste enthalten sind.
Wer einen einzelnen Host prüfen möchte, kann dies mittels eines POST-Requests an die API tun. Dafür kann man beispielsweise das Kommandozeilentool Curl einsetzen:
curl -X POST -d 'fqdn=letsencrypt.org' https://tls-alpn-check.letsencrypt.org/checkhost
Die Ausgabe teilt einem mit, ob man betroffen ist. Dabei wird sowohl geprüft, ob für den Host eines der betroffenen Zertifikate ausgestellt wurde, als auch, ob dies weiterhin auf dem Host läuft.
Alternativ erlaubt Let's Encrypt auch die Angabe einer Zertifikatsseriennummer. Jedes TLS-Zertifikat enthält eine solche Seriennummer, diese sind zufällig gewählt und sind so lang, dass es keine Duplikate gibt und diese damit ein Zertifikat eindeutig identifizieren.
Die Seriennummer eines Zertifikats kann man beispielsweise mit OpenSSL herausfinden. Wenn man ein Zertifikat lokal in der Datei test.crt vorliegen hat, lautet der entsprechende Befehl etwa:
openssl x509 -in test.crt -noout -serial
Die Ausgabe sieht beispielsweise so aus:
serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47
Diese kann man dann über die API prüfen. Let's Encrypt verwendet in den Beispielen kleingeschriebene Seriennummern, OpenSSL verwendet Großschreibung, die API akzeptiert aber beides:
curl -X POST -d 'serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47' https://tls-alpn-check.letsencrypt.org/checkserial
Beide Funktionen können auch über ein Onlineformular bei Let's Encrypt genutzt werden.
Neben dieser API stellt Let's Encrypt auch eine Liste der betroffenen Zertifikate als gepackte CSV-Datei bereit. Die kann man herunterladen und anschließend etwa darin nach einem Hostnamen oder einer Seriennummer suchen. Mit dem Befehl zgrep kann man dies auch direkt ohne Entpacken der Datei tun, beispielsweise:
zgrep golem.de tls-alpn-01-affected-certs-by-regID.csv.gz zgrep -i 45CD45814B7E04E6B78AB8F68770CC1E1C205D47 tls-alpn-01-affected-certs-by-regID.csv.gz
Beim Suchen nach Seriennummern sollte man beachten, dass diese hier ebenfalls in Kleinschreibung angegeben sind. Verwendet man den Parameter "-i" wird die Groß- oder Kleinschreibung beim Suchen ignoriert.
Wer betroffen ist, muss prüfen, wie er die jeweils verwendete ACME-Software anweisen kann, das Zertifikat außerplanmäßig zu erneuern.
Manche Software erneuert die Zertifikate automatisch, wenn sie via OCSP als zurückgezogen und nicht mehr gültig markiert sind. Der HTTPS-Server Caddy hat etwa eine entsprechende Funktion. Ganz ideal ist das nicht, da dies erst greift, wenn es eigentlich zu spät ist. Zumindest für einige Minuten wird in dem Fall ein ungültiges Zertifikat ausgeliefert.
Bisher gibt es keinen Mechanismus, mit dem eine Zertifizierungsstelle via ACME einer Clientsoftware automatisch mitteilen kann, dass es ersetzt werden soll. Es wird aber an einem entsprechenden Standard gearbeitet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Ihr seht das falsch. Weil Wochenende ist läuft das ganze Gemecker dann einfach ins Leere...
Ja, die Mail hatte ich übersehen.
wird man direkt von Let's Encrypt angeschrieben. Rechtzeitig vorher. War dann kein...