Original-URL des Artikels: https://www.golem.de/news/abgelaufen-linkedin-vergisst-tls-zertifikate-1711-131426.html    Veröffentlicht: 30.11.2017 16:41    Kurz-URL: https://glm.io/131426

Abgelaufen

LinkedIn vergisst TLS-Zertifikate

Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen.

Das weltgrößte Karrierenetzwerk LinkedIn hat offenbar vergessen, die TLS-Zertifikate seiner länderspezifischen Subdomains zu aktualisieren. Die verwendeten Zertifikate zur Verschlüsselung des Datenverkehrs mit der LinkedIn-Webseite waren heute zwischen 13 und 16 Uhr ausgelaufen.

Damit wurden die Zertifikate von allen großen Browsern als ungültig abgelehnt und der Besuch der Webseite für den Nutzer blockiert. Erst einige weitere Klicks ermöglichten den Zugriff auf die Seite. Der Fehler betraf ausschließlich Subdomains wie etwa https://de.linkedin.com und https://fr.linkedin.com, nicht aber die Hauptdomain. Auch die Verbindung via Smartphone-App scheint nicht betroffen gewesen zu sein.

Fehler mit Auswirkungen

LinkedIn, das seit rund einem Jahr zum Microsoft-Konzern gehört, hat nach einem Sturm der Entrüstung auf Twitter reagiert und den Fehler innerhalb von drei Stunden behoben.

Peinlich ist der Vorfall nicht nur wegen der symbolischen Wirkung, sondern auch, weil viele der großen Suchmaschinen bei der Suche nach einer Person standardmäßig auf die Subdomains verlinken. Suchende Nutzer wurden so direkt auf die Seiten mit den abgelaufenen Zertifikaten geleitet.

Fehlerquelle unklar

Twitternutzer machten sich bereits über LinkedIn lustig. Während manche vorschlugen, das Unternehmen solle auf Let's Encrypt umsteigen, das Zertifikate automatisiert aktualisieren kann, twitterten andere ihre Favoriten.

Sorry @LinkedIn just realised it's all your country subdomains on a single expired certificate. https://t.co/sWibfbM4kN being my favourite

— Joseph Reeves (@iknowjoseph) November 30, 2017


Unklar bleibt bisher, wie ein solch gravierender Fehler in einem so großen Unternehmen passieren konnte. Kommerzielle Zertifikate-Anbieter wie die von LinkedIn verwendete DigiCert Inc. bieten eigentlich ein automatisiertes Zertifikate- und Enrollment-Management. Das Unternehmen wirbt außerdem mit einer zentralisierten Plattform, die einen Überblick über alle in einem Unternehmen verwendeten Zertifikate bieten soll.

Ob LinkedIn diese Dienste jedoch in Anspruch nimmt, ist nicht bekannt. Die Pressesprecherin des Unternehmens wollte im Gespräch mit Golem.de keine Angaben zu den technischen Gründen des Fehlers oder der möglichen Verantwortung machen. "Was ich Ihnen sagen kann ist, wir sind wieder live."  (jaw)


Verwandte Artikel:
Spionage: Chinas Geheimdienste kommen per LinkedIn   
(11.12.2017, https://glm.io/131590 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung   
(09.03.2018, https://glm.io/133248 )
E-Mail-Clients für Android: Kennwörter werden an App-Entwickler übermittelt   
(06.03.2018, https://glm.io/133172 )

© 1997–2020 Golem.de, https://www.golem.de/