Folgen:

Let’s Encrypt: Mittwochabend werden drei Millionen HTTPS-Zertifikate ungültig

Let's Encrypt HTTPS
Bild: Let's Encrypt
(Beitragsbild: © 2020 Let's Encrypt)

Aufgrund eines Sicherheitsproblems macht die Zertifizierungsstelle Let’s Encrypt Mittwochabend rund 3 Millionen TLS-Zertifikate ungültig. Somit müssen einige Systemadmins heute eine Abendstunde an Arbeit leisten, damit anschließend keine HTTPS-Fehler bei Webseitenbesuchern erscheinen.

Let’s Encrypt ist wohl die einfachste Art und Weise im Internet für seine Homepage ein TLS-Zertifikat (wird für HTTPS benötigt) anzulegen. Aufgrund eines Sicherheitsproblems konnte jeder Nutzer für eine beliebige Domain ein Zertifikat beantragen. Aufgrund dessen müssen mit der fehlerhaften Software erstellen Zertifikate nun ungültig gemacht werden. Laut Let’s Encrypt trat der Fehler seit Juli 2019 im Open-Source-Tools Boulder auf, welcher vergangenen Sonntag behoben worden war. Dieses ist zur Prüfung der korrekten Domain verantwortlich.

Achja: Wir wissen natürlich, dass es SSL-Zertifikat heißt – zur besseren Auffindbarkeit unseres Artikels aber absichtlich so betitelt.

Let’s Encrypt: Erste Zertifikate ab 20:00 Uhr ungültig

Um die Authentizität der möglicherweise fälschlich generierten Zertifikate weiterhin gewährleisten können, zieht man diese nun zurück. Damit Let’s Encrypt vor der Deadline am Donnerstag, 03:00 Uhr fertig ist, wird man heute ab 20:00 Uhr beginnen. Ab diesem Zeitpunkt werden die ersten Zertifikate ungültig – insgesamt rund 3 Millionen sind davon betroffen. Dies entspricht weniger als drei Prozent der insgesamt etwa 116 Millionen aktiven Zertifikate. Somit sollte man als Systemadmin und Webseitenbetreiber mit diesem Tool checken, ob das für die eigene Webseite genutzte Zertifikat davon betroffen ist. Sollte eure Homepage hier auftauchen und ihr keine Admins sein, meldet euch am besten noch heute an euren Provider, damit es morgen keine Probleme gibt.

Nutzt man zur Erstellung der Zertifikate den Certbot, reicht ein certbot renew –force-renewal in die Konsole, um alle aktiven Zertifikate auf dem Host zu erneuern. Trotzdem ein ziemlich drastischer Schritt seitens Let’s Encrypt, da man erst seit einem Tag betroffene Nutzer via E-Mail darauf hinweist. Naja – ein Systemadmin sollte sowieso zeitnah reagieren können.

Empfehlungen für Dich

David Wurm

Macht das TechnikNews-Ding gemeinsam mit einem tollen Team schon über fünf Jahre lang. Ist an der aktuellen Technik fasziniert und bloggt gerne über alles Digitale. Ist sonst in der Freizeit oftmals beim Webentwickeln, Fotografieren oder Radiomachen anzutreffen.

David hat bereits 746 Artikel geschrieben und 314 Kommentare verfasst.

Web | Twitter | Insta | Dell XPS 15 7590 | Google Pixel 5
Mail: david.wurm|at|techniknews.net | bitte NICHT für allgemeine Anfragen, Kooperationen! Hier lang: Kontakt
guest
Dein Name, der öffentlich angezeigt wird.
Wir werden Deine Mailadresse nicht veröffentlichen.
0 Comments
Inline Feedbacks
View all comments