Let's Encrypt: Was Admins heute tun müssen

Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.

Eine Anleitung von veröffentlicht am
Heutige Reaktion nötig: Let's Encrypt zieht einige Zertifikate zurück.
Heutige Reaktion nötig: Let's Encrypt zieht einige Zertifikate zurück. (Bild: Dafne Cholet/Wikimedia Commons/CC-BY 2.0)

Die Zertifizierungsstelle Let's Encrypt hat vor einigen Tagen angekündigt, Zertifikate zurückzuziehen, die mittels der Validierungsmethode TLS-ALPN-01 erstellt wurden. Der Grund dafür ist wohl, dass bei der Prüfung einige Regelungen nicht eingehalten wurden, genaue Details sind bislang nicht bekannt.

Stellenmarkt
  1. Projektleiter (m/w/d) Stammdatenmanagement/UDI-Dat- enbanken
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim / Karlsruhe)
  2. Systems Engineer - Secure PIM (m/w/d)
    BWI GmbH, Berlin, Leipzig, Meckenheim, München
Detailsuche

Für Administratoren, deren Server Let's-Encrypt-Zertifikate nutzen, stellt sich nun die Frage, ob sie betroffen sind. Die Zertifikate werden am heutigen Freitag, dem 28. Januar, nach deutscher Zeit um 17 Uhr zurückgezogen.

Let's Encrypt hat zwar an die Kontaktmailadressen von betroffenen Accounts Warnungen geschickt, doch die Angabe einer Mailadresse ist bei der Zertifikatsausstellung optional. Nutzer, die keine Mailadresse angegeben haben, konnten daher nicht informiert werden.

Online-API und Liste betroffener Zertifikate

Let's Encrypt hat zwischenzeitlich eine API und eine Liste der betroffenen Zertifikate bereitgestellt. Damit ist es für Betroffene einfach möglich, zu prüfen, ob ihre Zertifikate in der Liste enthalten sind.

Golem Akademie
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Wer einen einzelnen Host prüfen möchte, kann dies mittels eines POST-Requests an die API tun. Dafür kann man beispielsweise das Kommandozeilentool Curl einsetzen:

  1. curl -X POST -d 'fqdn=letsencrypt.org' https://tls-alpn-check.letsencrypt.org/checkhost

Die Ausgabe teilt einem mit, ob man betroffen ist. Dabei wird sowohl geprüft, ob für den Host eines der betroffenen Zertifikate ausgestellt wurde, als auch, ob dies weiterhin auf dem Host läuft.

Alternativ erlaubt Let's Encrypt auch die Angabe einer Zertifikatsseriennummer. Jedes TLS-Zertifikat enthält eine solche Seriennummer, diese sind zufällig gewählt und sind so lang, dass es keine Duplikate gibt und diese damit ein Zertifikat eindeutig identifizieren.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Seriennummer eines Zertifikats kann man beispielsweise mit OpenSSL herausfinden. Wenn man ein Zertifikat lokal in der Datei test.crt vorliegen hat, lautet der entsprechende Befehl etwa:

  1. openssl x509 -in test.crt -noout -serial

Die Ausgabe sieht beispielsweise so aus:

  1. serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47

Diese kann man dann über die API prüfen. Let's Encrypt verwendet in den Beispielen kleingeschriebene Seriennummern, OpenSSL verwendet Großschreibung, die API akzeptiert aber beides:

  1. curl -X POST -d 'serial=45CD45814B7E04E6B78AB8F68770CC1E1C205D47' https://tls-alpn-check.letsencrypt.org/checkserial

Beide Funktionen können auch über ein Onlineformular bei Let's Encrypt genutzt werden.

Neben dieser API stellt Let's Encrypt auch eine Liste der betroffenen Zertifikate als gepackte CSV-Datei bereit. Die kann man herunterladen und anschließend etwa darin nach einem Hostnamen oder einer Seriennummer suchen. Mit dem Befehl zgrep kann man dies auch direkt ohne Entpacken der Datei tun, beispielsweise:

  1. zgrep golem.de tls-alpn-01-affected-certs-by-regID.csv.gz
  2. zgrep -i 45CD45814B7E04E6B78AB8F68770CC1E1C205D47 tls-alpn-01-affected-certs-by-regID.csv.gz

Beim Suchen nach Seriennummern sollte man beachten, dass diese hier ebenfalls in Kleinschreibung angegeben sind. Verwendet man den Parameter "-i" wird die Groß- oder Kleinschreibung beim Suchen ignoriert.

Wer betroffen ist, muss prüfen, wie er die jeweils verwendete ACME-Software anweisen kann, das Zertifikat außerplanmäßig zu erneuern.

Manche Software erneuert die Zertifikate automatisch, wenn sie via OCSP als zurückgezogen und nicht mehr gültig markiert sind. Der HTTPS-Server Caddy hat etwa eine entsprechende Funktion. Ganz ideal ist das nicht, da dies erst greift, wenn es eigentlich zu spät ist. Zumindest für einige Minuten wird in dem Fall ein ungültiges Zertifikat ausgeliefert.

Bisher gibt es keinen Mechanismus, mit dem eine Zertifizierungsstelle via ACME einer Clientsoftware automatisch mitteilen kann, dass es ersetzt werden soll. Es wird aber an einem entsprechenden Standard gearbeitet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Tiles 30. Jan 2022

Ihr seht das falsch. Weil Wochenende ist läuft das ganze Gemecker dann einfach ins Leere...

Schnuffel 28. Jan 2022

Ja, die Mail hatte ich übersehen.

Arsenal 28. Jan 2022

wird man direkt von Let's Encrypt angeschrieben. Rechtzeitig vorher. War dann kein...



Aktuell auf der Startseite von Golem.de
Love, Death + Robots 3
Mal spannend, mal tragisch, mal gelungen, mal nicht so

Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
Von Peter Osteried

Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Kojima Productions: Norman Reedus bestätigt Arbeit an Death Stranding 2
    Kojima Productions
    Norman Reedus bestätigt Arbeit an Death Stranding 2

    Hat sich Schauspieler Norman Reedus verplappert - oder absichtlich die Arbeit an Death Stranding 2 bestätigt?

  3. Missbrauchs-Vorwürfe: SpaceX zahlte 250.000 US-Dollar Abfindung
    Missbrauchs-Vorwürfe
    SpaceX zahlte 250.000 US-Dollar Abfindung

    Elon Musk soll einer Flugbegleiterin Geld für Sex angeboten haben. SpaceX zahlte für eine Geheimhaltungsvereinbarung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /