Einige SSL-/TLS-Zertifikate von GoDaddy wegen Software-Bug für ungültig erklärt

Die Zertifizierungsstelle (CA) des Domain- und Web-Hosters GoDaddy (seit kurzem auch Besitzer von Host Europe) wollte eigentlich den Prozess zur Ausstellung von Zertifikaten optimieren. Die CA hat sich dabei jedoch einen Software-Bug eingehandelt, aufgrund dessen sie Zertifikate für ungültig erklären mussten. Mittlerweile ist der Fehler korrigiert, versichert der Geschäftsführer der CA Wayne Thayer.

Fehler im DV-Prozess

Der Bug soll dazu geführt haben, dass der Domain-Validation-Prozess (DV) in einigen Fällen nicht richtig funktioniert hat. Darüber können Webseiten-Betreiber beweisen, dass sie die Kontrolle über eine Domain haben. Dafür platzieren sie auf ihrer Webseite Code von der CA, den diese anschließend in einem Scan sucht. Wird der Code gefunden, ist die Validierung erfolgreich abgeschlossen.

Im Fall von GoDaddy führte der Bug bei einigen Web-Server-Konfigurationen jedoch dazu, dass der DV-Prozess immer ein positives Ergebnis lieferte, selbst wenn der Code nicht da war, und ein Zertifikat ausgestellt wurde. Das sorgte dafür, dass GoDaddy den CA-Vorgaben entsprechend die betroffenen Zertifikate für ungültig erklärt hat.

Kostenloses Zertifikat auf dem Weg

Davon sollen ungefähr 6100 Kunden betroffen sein. Diese bekommen kostenlos eine neues Zertifikat, versichert die CA. Dafür müssen sich Betroffene in ihr GoDaddy-Konto einloggen und dort das SSL-Panel für weitere Infos aufrufen. Wer seine Webseite auch bei GoDaddy hostet, muss sich im Anschluss um nichts weiter kümmern. Liegt die Webseite woanders, muss man das neue Zertifikat noch verankern.

Webseiten mit einem ungültigem GoDaddy-Zertifikat sollen weiterhin erreichbar sein und auch die Transportverschlüsselung soll trotz Warnungen von Webbrowsern weiterhin aktiv sein. Betroffene Kunden sollten dennoch zügig handeln.

[UPDATE 12.01.2017 12:00 Uhr]

Erläuterung des Software-Bugs im Fließtext angepasst. (des)