Letsencrypt sperrt TLS-SNI Domainvalidierung
Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer SicherheitslĂĽcke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins mĂĽssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.
(Bild: Bo-Yi Wu (CC-BY))
Letsencrypt stellt fĂĽr jeden kostenlose SSL-Zertifikate aus, der beweisen kann, dass er eine Domain kontrolliert. Die CA bietet drei verschiedene Wege dafĂĽr an: Abfrage einer kryptisch benannten Datei ĂĽber einen HTTP-Server, ein TXT-Record im DNS oder ein selbstsigniertes Zertifikat fĂĽr eine kryptische Subdomain, das der TLS-Server ausliefert. Die letzte Methode (TLS-SNI-01) musste Letsencrypt abschalten, da eine SicherheitslĂĽcke bekannt wurde.
Die Lücke entsteht nur auf Servern, die für mehrere Benutzer Dienste für mehrere Domains bereitstellen und gleichzeitig den Benutzern die Möglichkeit geben, ohne weitere Prüfung Zertifikate über den TLS-Server bereitzustellen. Bei derart fahrlässig agierenden Servern fehlt bei der TLS-SNI-Validierung die Zuordnung zwischen Domain und Benutzer, sodass jeder Benutzer für beliebige andere Dienste auf dem Server Zertifikate über Letsencrypt beziehen könnte.
Letsencrypt steht im Kontakt mit betroffenen Hostern, damit diese die in den Zertifikaten angegebene Domain prüfen, bevor Benutzer sie auf den TLS-Server laden können. In einem ersten Schritt sollen einige populäre Hoster, die die Lücke geschlossen haben, freigegeben werden. Danach soll die Validierungsmethode für alle außer den Hostern freigegeben werden, die noch keinen Patch eingespielt haben. (pmk)
