Das Blockieren von Werbung entzieht uns die Finanzierung!
Das Recherchieren und Verfassen von Artikeln kostet viel Zeit. Das Betreiben unserer Infrastruktur kostet Geld.
All das wird mit Werbeeinnahmen finanziert.
Wir mögen Werbung ebenso wenig – deswegen verzichten wir auf nervige Banner und Pop-Ups.
Bitte gib uns eine Chance und deaktiviere Deinen Adblocker!
Alternativ kannst Du uns hier freiwillig unterstützen.

Folgen:


Let’s Encrypt: Mittwochabend werden drei Millionen HTTPS-Zertifikate ungültig

Let's Encrypt HTTPS
Bild: Let's Encrypt
(Beitragsbild: © 2020 Let's Encrypt)

Aufgrund eines Sicherheitsproblems macht die Zertifizierungsstelle Let’s Encrypt Mittwochabend rund 3 Millionen TLS-Zertifikate ungültig. Somit müssen einige Systemadmins heute eine Abendstunde an Arbeit leisten, damit anschließend keine HTTPS-Fehler bei Webseitenbesuchern erscheinen.

Let’s Encrypt ist wohl die einfachste Art und Weise im Internet für seine Homepage ein TLS-Zertifikat (wird für HTTPS benötigt) anzulegen. Aufgrund eines Sicherheitsproblems konnte jeder Nutzer für eine beliebige Domain ein Zertifikat beantragen. Aufgrund dessen müssen mit der fehlerhaften Software erstellen Zertifikate nun ungültig gemacht werden. Laut Let’s Encrypt trat der Fehler seit Juli 2019 im Open-Source-Tools Boulder auf, welcher vergangenen Sonntag behoben worden war. Dieses ist zur Prüfung der korrekten Domain verantwortlich.

Achja: Wir wissen natürlich, dass es SSL-Zertifikat heißt – zur besseren Auffindbarkeit unseres Artikels aber absichtlich so betitelt.

Let’s Encrypt: Erste Zertifikate ab 20:00 Uhr ungültig

Um die Authentizität der möglicherweise fälschlich generierten Zertifikate weiterhin gewährleisten können, zieht man diese nun zurück. Damit Let’s Encrypt vor der Deadline am Donnerstag, 03:00 Uhr fertig ist, wird man heute ab 20:00 Uhr beginnen. Ab diesem Zeitpunkt werden die ersten Zertifikate ungültig – insgesamt rund 3 Millionen sind davon betroffen. Dies entspricht weniger als drei Prozent der insgesamt etwa 116 Millionen aktiven Zertifikate. Somit sollte man als Systemadmin und Webseitenbetreiber mit diesem Tool checken, ob das für die eigene Webseite genutzte Zertifikat davon betroffen ist. Sollte eure Homepage hier auftauchen und ihr keine Admins sein, meldet euch am besten noch heute an euren Provider, damit es morgen keine Probleme gibt.

Nutzt man zur Erstellung der Zertifikate den Certbot, reicht ein certbot renew –force-renewal in die Konsole, um alle aktiven Zertifikate auf dem Host zu erneuern. Trotzdem ein ziemlich drastischer Schritt seitens Let’s Encrypt, da man erst seit einem Tag betroffene Nutzer via E-Mail darauf hinweist. Naja – ein Systemadmin sollte sowieso zeitnah reagieren können.

Empfehlungen für Dich

>> Die besten Amazon-Deals <<

David Wurm

Macht das TechnikNews-Ding gemeinsam mit einem tollen Team schon seit 2015. Werkelt im Hintergrund an der Server-Infrastruktur und ist auch für alles Redaktionelle zuständig. Ist an der aktuellen Technik fasziniert und bloggt gerne über alles Digitale. In der Freizeit oftmals beim Webentwickeln, Fotografieren oder Radiomachen anzutreffen.

David hat bereits 977 Artikel geschrieben und 383 Kommentare verfasst.

Web | Facebook | X (Twitter) | Insta | YouTube
Benachrichtigungseinstellungen
Benachrichtigungen über
guest
Dein Name, der öffentlich angezeigt wird.
Wir werden Deine Mailadresse nicht veröffentlichen.

0 Kommentare
neueste
älteste beste
Inline Feedbacks
View all comments