Letsencrypt sperrt TLS-SNI Domainvalidierung
Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer Sicherheitslücke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins müssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.
(Bild: Bo-Yi Wu (CC-BY))
Letsencrypt stellt für jeden kostenlose SSL-Zertifikate aus, der beweisen kann, dass er eine Domain kontrolliert. Die CA bietet drei verschiedene Wege dafür an: Abfrage einer kryptisch benannten Datei über einen HTTP-Server, ein TXT-Record im DNS oder ein selbstsigniertes Zertifikat für eine kryptische Subdomain, das der TLS-Server ausliefert. Die letzte Methode (TLS-SNI-01) musste Letsencrypt abschalten, da eine Sicherheitslücke bekannt wurde.
Die Lücke entsteht nur auf Servern, die für mehrere Benutzer Dienste für mehrere Domains bereitstellen und gleichzeitig den Benutzern die Möglichkeit geben, ohne weitere Prüfung Zertifikate über den TLS-Server bereitzustellen. Bei derart fahrlässig agierenden Servern fehlt bei der TLS-SNI-Validierung die Zuordnung zwischen Domain und Benutzer, sodass jeder Benutzer für beliebige andere Dienste auf dem Server Zertifikate über Letsencrypt beziehen könnte.
Letsencrypt steht im Kontakt mit betroffenen Hostern, damit diese die in den Zertifikaten angegebene Domain prüfen, bevor Benutzer sie auf den TLS-Server laden können. In einem ersten Schritt sollen einige populäre Hoster, die die Lücke geschlossen haben, freigegeben werden. Danach soll die Validierungsmethode für alle außer den Hostern freigegeben werden, die noch keinen Patch eingespielt haben. (pmk)
