Let's Encrypt schaltet TLS-SNI-01 zum 13. Februar komplett ab
Let's Encrypt schaltet demnächst die Domain-Validierung TLS-SNI-01 für alle Anwender ohne Ausnahmen ab. Admins müssen auf andere Methoden ausweichen.
Let's Encrypt hat angekündigt, TLS-SNI-01 am 13. Februar komplett und ohne Ausnahmen abzuschalten. Anwender alter Certbot-Versionen müssen nun schleunigst auf neue Versionen wechseln, wofür sie bei Debian Stable auf Backport-Pakete angewiesen sind. Als Alternative stehen die Validierungsmethoden HTTP-01, DNS-01 (Voraussetzung für Wildcard-Zertifikate) und seit neuestem auch TLS-ALPN-01 zur Verfügung, teilt Let's Encrypt mit [1].
Wegen einer Sicherheitslücke musste die kostenlose CA Let's Encrypt die Validierungsmethode TLS-SNI-01 bereits im Januar 2018 für die meisten Nutzer abschalten [2]. Es gab allerdings Ausnahmen fürs Erneuern bestehender Zertifikate. Die nutzten einige Anwender alter Versionen des offiziellen ACME-Clients Certbot, der vor Version 0.21 nur die TLS-SNI-01-Validierung beherrschte. Eine so alte Version von Certbot ist beispielsweise Teil von Debian Stable. (pmk [3])
URL dieses Artikels:
https://www.heise.de/-4283135
Links in diesem Artikel:
[1] https://community.letsencrypt.org/t/february-13-2019-end-of-life-for-all-tls-sni-01-validation-support/74209
[2] https://www.heise.de/news/Letsencrypt-sperrt-TLS-SNI-Domainvalidierung-3938738.html
[3] mailto:pmk@heise.de
Copyright © 2019 Heise Medien