Datenweitergabe bei Let’s Encrypt?

Wenn ich einen frischen Webserver aufsetze und mir für den Hostnamen ein kostenloses TLS-Zertifikat bei der Zertifizierungstelle Let’s Encrypt ausstellen lasse, beobachte ich im Anschluss viele Zugriffe mir unbekannter IP-Adressen. Gibt Let’s Encrypt etwa Daten wie meinen Hostnamen an Dritte weiter oder sind diese Daten irgendwo öffentlich einsehbar?

Das Speichern und Veröffentlichen von Zertifikatsmerkmalen ist seit einigen Jahren gängige Praxis. Die Gründe dafür gehen im Wesentlichen darauf zurück, dass beliebige Zertifizierungsstellen auf der Welt Zertifikate für wiederum beliebige Domains ausstellen konnten; Domain-Inhaber müssen dafür weder gefragt noch informiert werden. Das wiederum haben manche Kriminelle genutzt, um in Zertifizierungsstellen einzubrechen und sich selbst Zertifikate für Domains auszustellen, die sie dann angegriffen haben. Zu den Opfern gehörten damals etwa Google und Microsoft, aber auch viele andere.

In der Folge haben Google und einige weitere große Mitspieler diverse Methoden eingeführt, um den Missbrauch von Zertifikaten einzudämmen. Dazu gehört eben die Protokollierung von Zertifikatsausstellungen. Diese bildet die Grundlage, um unerwünschte Zertifikate in Browsern zu sperren. Es gibt zahlreiche solcher Logs im Netz. Man kann sie beispielsweise über den Webdienst crt.sh auslesen, wie im Beispiel-Log für ct.de.

Letztendlich ist aber nicht abschließend zu klären, wie die unerwarteten Zugriffe auf Ihre Webserver zustande gekommen sind. Um beispielsweise Server mit öffentlichen IPv4-Adressen aufzufinden, genügen Netzwerkscans, die im Internet laufend stattfinden. So können zum Beispiel auch SMTP- und IMAP-Mail-Server leicht gefunden werden. Potenzielle Angreifer sammeln die zugehörigen IP-Adressen in Datenbanken und handeln damit. Selbst wenn dann einige Jahre lang keine Serveraktivität von bestimmten Adressen ausgegangen ist, kann ein Server unmittelbar nach Neueinrichtung routinemäßig gefunden werden.

(dz)