CAA-Check
04.03.2020, 13:33 Uhr
Let's Encrypt: drei Millionen SSL-/TLS-Zertifikate zurückgezogen
Die Zertifizierungsstelle Let's Encrypt zieht wegen eines Fehlers kurzfristig betroffene SSL-/TLS-Zertifikate zurück. Nutzer könnten auf einige Webseiten mit Verbindungsproblemen stossen.
(Quelle: skylarvision/Pixabay)
Die Non-Profit-Zertifizierungsstelle Let's Encrypt hat drei Millionen SSL-/TLS-Zertifikate zurückgezogen. Let's Encrypt ist eine kostenlose, automatisierte Zertifizierungsstelle, die digitale Zertifikate erstellt, welche zur Aktivierung von HTTPS (SSL/TLS) für eine Webseite notwendig sind. Grund für die widerrufenen Zertifikate ist ein Fehler bei der Prüfung von CAA-DNS-Records, wie «Golem» berichtet.
Zertifikate seit dem 4. März ungültig
Die Zertifikate sind bereits seit heute, 4. März, ungültig. Betroffen sind HTTPS-Zertifikate, die am Samstag, 29. Februar 2020 ausgestellt wurden. Nutzer sollten diese zeitnah erneuern.
Let's Encrypt hat den Fehler selbst entdeckt und in seiner Community darüber informiert (Englisch). Ein Teil der Nutzer wurde per E-Mail kontaktiert, doch da die Angabe einer Kontakt-E-Mail bei der Nutzung von Let's Encrypt optional ist, dürfte es einige Nutzer geben, die diese Mail nicht erhalten haben. Dadurch ist mit Verbindungsproblemen zu einigen Webseiten zu rechnen.
CAA-Check zu früh durchgeführt
Durch den Certificate-Authority-Authorization-Standard (CAA) können Domain-Inhaber im DNS definieren, welche Zertifizierungsstelle (CA) für ihre Domain Zertifikate ausstellen darf. CAA-Records (Einträge) werden von CAs überprüft.
Wie die Zertifizierungsstelle in diesem Community-Eintrag ausführt, fand man einen Fehler im CAA-Code. Die CA-Software prüft gleichzeitig auf CAA-Records, während sie die Domain-Validierung durchführt. Let's Encrypt hält eine Überprüfung für 30 Tage für gut, was bedeutet, dass der Domain-Name kurz vor der Ausstellung ein zweites Mal überprüft werden muss. Das ist nicht erfolgt.
Das Problem: Gemäss den Regeln des CA/Browser-Forums – an die sich alle Zertifizierungsstellen halten müssen – darf ein CAA-Records-Check nur maximal acht Stunden vor der Zertifikatsausstellung stattfinden. Bis zur Behebung des Fehlers wurde die Zertifikatsausstellung für einige Stunden eingestellt.
Let's Encrypt hat vergangenen Monat verkündet, dass die Zertifizierungsstelle das milliardste Zertifikat ausgestellt hat.
Kommentare
Es sind keine Kommentare vorhanden.
