• IT-Karriere:
  • Services:

TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

Artikel veröffentlicht am ,
Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden.
Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden. (Bild: Pxfuel/CC0 1.0)

Die kostenlose Zertifizierungsstelle Let's Encrypt muss drei Millionen Zertifikate zurückziehen. Der Hintergrund ist ein Fehler bei der Prüfung von CAA-Records, die nicht nach den vorgegebenen Regeln stattfand. Die Zertifikate werden bereits am morgigen Mittwoch, den 4. März, ungültig, betroffene Nutzer sollten diese daher umgehend erneuern.

Stellenmarkt
  1. Klinikum der Universität München, München
  2. Hottgenroth Software GmbH & Co. KG, Köln

Certificate Authority Authorization oder CAA ist eine Technologie, mit der man als Domaininhaber mit einem DNS-Record festlegen kann, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen. Zertifizierungsstellen sind verpflichtet, diesen Record vor der Ausstellung eines Zertifikats zu prüfen.

CAA-Check darf maximal 8 Stunden vor Zertifikatsausstellung stattfinden

Let's Encrypt prüfte den CAA-Record zeitgleich mit der Prüfung des Domaininhabers, der sogenannten Domainvalidierung. Die Domainvalidierung wiederum ist bei Let's Encrypt für 30 Tage gültig. Und hier trat das Problem auf: Denn laut den Regeln des CA/Browser-Forums, an die sich alle Zertifizierungsstellen halten müssen, darf der Check des CAA-Records nur maximal acht Stunden vor der Zertifikatsausstellung stattfinden.

Let's Encrypt hatte diesen Fehler am vergangenen Samstag selbst entdeckt und bekannt gemacht. Bis zur Behebung des Fehlers wurde die Zertifikatsausstellung für einige Stunden eingestellt. Alle Zertifikate, die von dem Problem betroffen waren, werden jetzt zurückgezogen. Let's Encrypt hat nach eigenen Angaben etwa 116 Millionen aktuell gültige Zertifikate ausgestellt, damit sind mit drei Millionen Zertifikaten etwa 2,5 Prozent der ausgestellten Zertifikate betroffen.

Let's Encrypt hat heute viele betroffene Nutzer per Mail informiert. Wer betroffen ist, sollte sich umgehend ein neues Zertifikat ausstellen lassen. Nutzer der Software Certbot, dem am weitesten verbreiteten Client für das Zertifikatsausstellungsprotokoll ACME, können dies tun, indem sie den Befehl certbot renew --force-renewal aufrufen. Damit werden alle Zertifikate unabhängig von ihrer Gültigkeit neu ausgestellt. Nutzer anderer Clients müssen jeweils individuell prüfen, wie sie ein neues Zertifikat erhalten.

Nicht alle Betroffenen können kontaktiert werden

Die Angabe einer Kontaktmailadresse ist bei der Nutzung von Let's Encrypt optional. Daher dürfte es viele Nutzer geben, die diese Infomail nicht erhalten. Mit ein paar Verbindungsproblemen zu Webseiten wird man also rechnen müssen.

Zusätzlich problematisch werden könnte, dass Browser sich bei der Prüfung zurückgezogener Zertifikate nicht einheitlich verhalten. Zur Prüfung kommt ein Protokoll namens OCSP zum Einsatz, bei dem ein von der Zertifizierungsstelle bereitgestellter Server die Gültigkeitsinformationen verteilt.

Der Firefox-Browser prüft alle Zertifikate mittels OCSP. Chrome hat diesen Check vor einigen Jahren standardmäßig deaktiviert. Der Grund dafür: Alle Browser hatten den OCSP-Check nur im Softfail-Modus implementiert. Das bedeutet, dass ein Zertifikat weiterhin als gültig anerkannt wird, wenn der OCSP-Server nicht erreichbar ist. Ein solcher Softfail-Check bietet sowieso nicht viel Sicherheit, daher die Entscheidung der Chrome-Entwickler, ganz darauf zu verzichten.

Die Situation könnte dazu führen, dass einige Webseitenbetreiber zunächst nicht bemerken, dass ein Problem besteht. Chrome hat von allen Browsern den größten Marktanteil und die Seiten werden dort zunächst weiter funktionieren. Andere Browser werden jedoch Fehlermeldungen anzeigen.

Webseitenbetreiber können mittels eines bereitgestellten Online-Checks prüfen, ob ihr Zertifikat von dem Problem betroffen ist. Wer größere Mengen an Zertifikaten automatisiert prüfen möchte, kann auch eine Liste der Seriennummern aller betroffenen Zertifikate herunterladen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

My1 04. Mär 2020 / Themenstart

wobei mMn wenn jetzt aktuell entweder kein CAA oder LE drin steht wäre mMn das cert...

Tantalus 04. Mär 2020 / Themenstart

Nichts, aber dann muss der Kriminelle Dich immer noch dazu bringen, überhaupt mal seine...

robinx999 04. Mär 2020 / Themenstart

Dürfte alle Leute betreffen die mal ein Zertifikat um eine oder mehrere Domains erweitert...

elgooG 04. Mär 2020 / Themenstart

Im Zweifelsfall würde ich einfach alle Zertifikate neu ausstellen lassen. Lässt sich...

Schattenwerk 04. Mär 2020 / Themenstart

In meinen Augen genau so ein Privacy-Gau wie die ursprüngliche Aussage. Darauf wollte ich...

Kommentieren


Folgen Sie uns
       


Tesla baut Gigafactory in Brandenburg - Bericht

Wald weg, Wasser weg, Tesla da? Wir haben Grünheide besucht.

Tesla baut Gigafactory in Brandenburg - Bericht Video aufrufen
Alternatives Android im Test: /e/ will Google ersetzen
Alternatives Android im Test
/e/ will Google ersetzen

Wie Google, nur mit Privatsphäre - /e/ verbindet ein alternatives Android mit Cloudfunktionen und einer Suchmaschine.
Ein Test von Moritz Tremmel


    CPU-Fertigung: Intel hat ein Netburst-Déjà-vu
    CPU-Fertigung
    Intel hat ein Netburst-Déjà-vu

    Über Jahre hinweg Takt und Kerne ans Limit treiben - das wurde Intel einst schon beim Pentium 4 zum Verhängnis.
    Eine Analyse von Marc Sauter

    1. Maxlinear Intel verkauft Konzernbereich
    2. Comet Lake H Intel geht den 5-GHz-Weg
    3. Security Das Intel-ME-Chaos kommt

    Schenker Via 14 im Test: Leipziger Langläufer-Laptop
    Schenker Via 14 im Test
    Leipziger Langläufer-Laptop

    Dank 73-Wattstunden-Akku hält das 14-Zoll-Ultrabook von Schenker trotz fast komplett aufrüstbarer Hardware lange durch.
    Ein Test von Marc Sauter

    1. XMG Neo 15 (E20) Schenker erhöht Akkukapazität um 50 Prozent
    2. XMG Apex 15 Schenker packt 16C-Ryzen in Notebook
    3. XMG Fusion 15 Schenkers Gaming-Laptop soll 10 Stunden durchhalten

      •  /