• IT-Karriere:
  • Services:

TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

Artikel veröffentlicht am ,
Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden.
Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden. (Bild: Pxfuel/CC0 1.0)

Die kostenlose Zertifizierungsstelle Let's Encrypt muss drei Millionen Zertifikate zurückziehen. Der Hintergrund ist ein Fehler bei der Prüfung von CAA-Records, die nicht nach den vorgegebenen Regeln stattfand. Die Zertifikate werden bereits am morgigen Mittwoch, den 4. März, ungültig, betroffene Nutzer sollten diese daher umgehend erneuern.

Stellenmarkt
  1. über D. Kremer Consulting, Düsseldorf
  2. Bayerische Versorgungskammer, München

Certificate Authority Authorization oder CAA ist eine Technologie, mit der man als Domaininhaber mit einem DNS-Record festlegen kann, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen. Zertifizierungsstellen sind verpflichtet, diesen Record vor der Ausstellung eines Zertifikats zu prüfen.

CAA-Check darf maximal 8 Stunden vor Zertifikatsausstellung stattfinden

Let's Encrypt prüfte den CAA-Record zeitgleich mit der Prüfung des Domaininhabers, der sogenannten Domainvalidierung. Die Domainvalidierung wiederum ist bei Let's Encrypt für 30 Tage gültig. Und hier trat das Problem auf: Denn laut den Regeln des CA/Browser-Forums, an die sich alle Zertifizierungsstellen halten müssen, darf der Check des CAA-Records nur maximal acht Stunden vor der Zertifikatsausstellung stattfinden.

Let's Encrypt hatte diesen Fehler am vergangenen Samstag selbst entdeckt und bekannt gemacht. Bis zur Behebung des Fehlers wurde die Zertifikatsausstellung für einige Stunden eingestellt. Alle Zertifikate, die von dem Problem betroffen waren, werden jetzt zurückgezogen. Let's Encrypt hat nach eigenen Angaben etwa 116 Millionen aktuell gültige Zertifikate ausgestellt, damit sind mit drei Millionen Zertifikaten etwa 2,5 Prozent der ausgestellten Zertifikate betroffen.

Let's Encrypt hat heute viele betroffene Nutzer per Mail informiert. Wer betroffen ist, sollte sich umgehend ein neues Zertifikat ausstellen lassen. Nutzer der Software Certbot, dem am weitesten verbreiteten Client für das Zertifikatsausstellungsprotokoll ACME, können dies tun, indem sie den Befehl certbot renew --force-renewal aufrufen. Damit werden alle Zertifikate unabhängig von ihrer Gültigkeit neu ausgestellt. Nutzer anderer Clients müssen jeweils individuell prüfen, wie sie ein neues Zertifikat erhalten.

Nicht alle Betroffenen können kontaktiert werden

Die Angabe einer Kontaktmailadresse ist bei der Nutzung von Let's Encrypt optional. Daher dürfte es viele Nutzer geben, die diese Infomail nicht erhalten. Mit ein paar Verbindungsproblemen zu Webseiten wird man also rechnen müssen.

Zusätzlich problematisch werden könnte, dass Browser sich bei der Prüfung zurückgezogener Zertifikate nicht einheitlich verhalten. Zur Prüfung kommt ein Protokoll namens OCSP zum Einsatz, bei dem ein von der Zertifizierungsstelle bereitgestellter Server die Gültigkeitsinformationen verteilt.

Der Firefox-Browser prüft alle Zertifikate mittels OCSP. Chrome hat diesen Check vor einigen Jahren standardmäßig deaktiviert. Der Grund dafür: Alle Browser hatten den OCSP-Check nur im Softfail-Modus implementiert. Das bedeutet, dass ein Zertifikat weiterhin als gültig anerkannt wird, wenn der OCSP-Server nicht erreichbar ist. Ein solcher Softfail-Check bietet sowieso nicht viel Sicherheit, daher die Entscheidung der Chrome-Entwickler, ganz darauf zu verzichten.

Die Situation könnte dazu führen, dass einige Webseitenbetreiber zunächst nicht bemerken, dass ein Problem besteht. Chrome hat von allen Browsern den größten Marktanteil und die Seiten werden dort zunächst weiter funktionieren. Andere Browser werden jedoch Fehlermeldungen anzeigen.

Webseitenbetreiber können mittels eines bereitgestellten Online-Checks prüfen, ob ihr Zertifikat von dem Problem betroffen ist. Wer größere Mengen an Zertifikaten automatisiert prüfen möchte, kann auch eine Liste der Seriennummern aller betroffenen Zertifikate herunterladen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. SanDisk Ultra 512GB MicroSDXC Speicherkarte + SD-Adapter für 72,99€, Western Digital 10...

My1 04. Mär 2020

wobei mMn wenn jetzt aktuell entweder kein CAA oder LE drin steht wäre mMn das cert...

Tantalus 04. Mär 2020

Nichts, aber dann muss der Kriminelle Dich immer noch dazu bringen, überhaupt mal seine...

robinx999 04. Mär 2020

Dürfte alle Leute betreffen die mal ein Zertifikat um eine oder mehrere Domains erweitert...

elgooG 04. Mär 2020

Im Zweifelsfall würde ich einfach alle Zertifikate neu ausstellen lassen. Lässt sich...

Schattenwerk 04. Mär 2020

In meinen Augen genau so ein Privacy-Gau wie die ursprüngliche Aussage. Darauf wollte ich...


Folgen Sie uns
       


Streamen und Aufnehmen in OBS Studio - Tutorial

Wir erläutern in einem kurzen Video die Grundfunktionen von OBS-Studio.

Streamen und Aufnehmen in OBS Studio - Tutorial Video aufrufen
    •  /