Let's Encrypt: Drei Millionen Zertifikate zurückgezogen

Ungültig

Eigentlich wollte die Zertifizierungsstelle (CA) Let's Encrypt vergangene Mittwochnacht bis 3 Uhr mitteleuropäischer Zeit ganze 3 Millionen TLS-Zertifikate aufgrund eines Sicherheitsproblems ungültig machen. Betroffene Admins wurden 24 Stunden zuvor per E-Mail informiert, um ihnen ausreichend Zeit für den fälligen Zertifikatswechsel zu geben. Dem Sicherheitsproblem liegt ein Bug zugrunde, den wir am gestrigen Mittwoch detailliert in einer Meldung beschrieben haben. Von den 116 Millionen aktiven Zertifikaten, die Let's Encrypt ausgestellt hat, sind es genau 3.048.289 Stück. Letztlich ist laut Let's Encrypt während des Anstiegs der Anzahl der auf Zertifikate setzenden Webseiten um mehr als das Vierfache das Budget lediglich um 28 % angewachsen. Man habe vermeiden wollen, so viele Websites vorübergehend "kaputtzumachen" und damit auch Unannehmlichkeiten für deren Besucher zu verursachen.

Let's Encrypt kündigte allerdings an, noch weitere Zertifikate zurückziehen zu wollen, sobald man zuversichtlich sei, dass dies "keine unnötige Störung für Internetnutzer mit sich bringe". Konkretere Angaben macht die CA nicht. Sie weist außerdem darauf hin, dass Let's-Encrypt-Zertifikate generell nur 90 Tage gültig seien, so dass sich das Problem relativ schnell von selbst erledige. Besonders unverständlich erscheint ihm, dass Let's Encrypt den Vorfall weder prominent auf seiner Homepage noch auf Social-Media-Kanälen erwähnt.

Ungültig
New Design Illustrations

Von dem Problem sind auch zahlreiche österreichische Webseiten betroffen, u.a. die Webseiten einiger Autohersteller, Mobilitätsdienste, Möbelhäuser, Tourismusverbände, Online-Shops u.v.m. "Ein zurückgezogenes Zertifikat kann für einen Browser potenziell bedeuten, dass es Kriminellen in die Hände gefallen ist", meint der Informant. Zur Prüfung kommt ein Protokoll namens OCSP zum Einsatz, bei dem ein von der Zertifizierungsstelle bereitgestellter Server die Gültigkeitsinformationen verteilt. Chrome hat von allen Browsern den größten Marktanteil und die Seiten werden dort zunächst weiter funktionieren. Die betroffenen Webseiten werden sodann von den meisten Browsern als unsicher gekennzeichnet. Wer größere Mengen an Zertifikaten automatisiert prüfen möchte, kann auch eine Liste der Seriennummern aller betroffenen Zertifikate herunterladen.

Related:

Comments

Latest news

Saudi-Arabien - Medienberichte: Mitglieder der Königsfamilie wegen Verschwörungsvorwurf festgenommen
Zum Schutz vor der Epidemie setzte Saudi-Arabien die Umrah, die sogenannte kleine Pilgerfahrt, nach Mekka und Medina aus. Mit den Festnahmen habe Kronprinz Mohammed seine Macht gefestigt, sagte ein Insider: "Die Säuberung ist abgeschlossen".

Flüchtlinge: Türkische Küstenwache stoppt "gefährliche" Überfahrten
Inmitten der Flüchtlingskrise haben an der türkisch-griechischen Grenze Sicherheitskräfte beider Seiten Tränengas abgefeuert. Die Türkei habe Flüchtlinge zu Lande und zu Wasser "aktiv" bei ihren Bemühungen unterstützt, nach Griechenland zu gelangen.

A380-Flotte wird vielleicht stillgelegt: Lufthansa reduziert bis zu 50 Prozent
Der Konzern hat rund 780 Flugzeuge in der Flotte, die im vergangenen Jahr durchschnittlich 3.226 Flüge pro Tag absolviert haben. Swiss wird ihre Frequenzen auf Flügen nach / von Florenz, Mailand, Rom und Venedig voraussichtlich bis Ende April reduzieren.

Afghanistan: Mindestens 27 Tote bei Angriff in Kabul
Ein Sprecher der militant-islamistischen Taliban hatte auf Twitter umgehend dementiert, für den Angriff verantwortlich zu sein. Die Terrorgruppe veröffentlichte am Freitag ein Foto der beiden Attentäter vor einer Flagge des IS in den sozialen Netzwerken.

Volkswagen will Elektro-SUV noch 2020 auf den Markt bringen | Wirtschaft
Zwickau - Die Produktion des ID.4, des ersten voll-elektrischen SUVs von Volkswagen, soll noch dieses Jahr in Zwickau beginnen. Der Hersteller verspricht dabei, dass die Reichweite des neuen ID.4 mit einer Ladung bis zu 500 Kilometer betragen wird.

Other news