Let’s Encrypt: Mittwochabend werden drei Millionen HTTPS-Zertifikate ungültig
Aufgrund eines Sicherheitsproblems macht die Zertifizierungsstelle Let’s Encrypt Mittwochabend rund 3 Millionen TLS-Zertifikate ungültig. Somit müssen einige Systemadmins heute eine Abendstunde an Arbeit leisten, damit anschließend keine HTTPS-Fehler bei Webseitenbesuchern erscheinen.
Let’s Encrypt ist wohl die einfachste Art und Weise im Internet für seine Homepage ein TLS-Zertifikat (wird für HTTPS benötigt) anzulegen. Aufgrund eines Sicherheitsproblems konnte jeder Nutzer für eine beliebige Domain ein Zertifikat beantragen. Aufgrund dessen müssen mit der fehlerhaften Software erstellen Zertifikate nun ungültig gemacht werden. Laut Let’s Encrypt trat der Fehler seit Juli 2019 im Open-Source-Tools Boulder auf, welcher vergangenen Sonntag behoben worden war. Dieses ist zur Prüfung der korrekten Domain verantwortlich.
Achja: Wir wissen natürlich, dass es SSL-Zertifikat heißt – zur besseren Auffindbarkeit unseres Artikels aber absichtlich so betitelt.
Let’s Encrypt: Erste Zertifikate ab 20:00 Uhr ungültig
Um die Authentizität der möglicherweise fälschlich generierten Zertifikate weiterhin gewährleisten können, zieht man diese nun zurück. Damit Let’s Encrypt vor der Deadline am Donnerstag, 03:00 Uhr fertig ist, wird man heute ab 20:00 Uhr beginnen. Ab diesem Zeitpunkt werden die ersten Zertifikate ungültig – insgesamt rund 3 Millionen sind davon betroffen. Dies entspricht weniger als drei Prozent der insgesamt etwa 116 Millionen aktiven Zertifikate. Somit sollte man als Systemadmin und Webseitenbetreiber mit diesem Tool checken, ob das für die eigene Webseite genutzte Zertifikat davon betroffen ist. Sollte eure Homepage hier auftauchen und ihr keine Admins sein, meldet euch am besten noch heute an euren Provider, damit es morgen keine Probleme gibt.
Nutzt man zur Erstellung der Zertifikate den Certbot, reicht ein certbot renew –force-renewal in die Konsole, um alle aktiven Zertifikate auf dem Host zu erneuern. Trotzdem ein ziemlich drastischer Schritt seitens Let’s Encrypt, da man erst seit einem Tag betroffene Nutzer via E-Mail darauf hinweist. Naja – ein Systemadmin sollte sowieso zeitnah reagieren können.