Let's Encrypt schaltet TLS-SNI-01 zum 13. Februar komplett ab

Let's Encrypt schaltet demnächst die Domain-Validierung TLS-SNI-01 für alle Anwender ohne Ausnahmen ab. Admins müssen auf andere Methoden ausweichen.

In Pocket speichern vorlesen Druckansicht 103 Kommentare lesen
Verschlüsselung

Let’s Encrypt bietet kostenlose Zertifikate. Die Domaininhaber müssen mit einer von mehreren Validierungsmethoden nachweisen, dass sie die Kontrolle über die Domain besitzen.

(Bild: dpa, Oliver Berg)

Lesezeit: 1 Min.

Let's Encrypt hat angekündigt, TLS-SNI-01 am 13. Februar komplett und ohne Ausnahmen abzuschalten. Anwender alter Certbot-Versionen müssen nun schleunigst auf neue Versionen wechseln, wofür sie bei Debian Stable auf Backport-Pakete angewiesen sind. Als Alternative stehen die Validierungsmethoden HTTP-01, DNS-01 (Voraussetzung für Wildcard-Zertifikate) und seit neuestem auch TLS-ALPN-01 zur Verfügung, teilt Let's Encrypt mit.

Wegen einer Sicherheitslücke musste die kostenlose CA Let's Encrypt die Validierungsmethode TLS-SNI-01 bereits im Januar 2018 für die meisten Nutzer abschalten. Es gab allerdings Ausnahmen fürs Erneuern bestehender Zertifikate. Die nutzten einige Anwender alter Versionen des offiziellen ACME-Clients Certbot, der vor Version 0.21 nur die TLS-SNI-01-Validierung beherrschte. Eine so alte Version von Certbot ist beispielsweise Teil von Debian Stable. (pmk)