Let's Encrypt schaltet TLS-SNI-01 zum 13. Februar komplett ab
Let's Encrypt schaltet demnächst die Domain-Validierung TLS-SNI-01 für alle Anwender ohne Ausnahmen ab. Admins müssen auf andere Methoden ausweichen.
Let’s Encrypt bietet kostenlose Zertifikate. Die Domaininhaber müssen mit einer von mehreren Validierungsmethoden nachweisen, dass sie die Kontrolle über die Domain besitzen.
(Bild: dpa, Oliver Berg)
Let's Encrypt hat angekĂĽndigt, TLS-SNI-01 am 13. Februar komplett und ohne Ausnahmen abzuschalten. Anwender alter Certbot-Versionen mĂĽssen nun schleunigst auf neue Versionen wechseln, wofĂĽr sie bei Debian Stable auf Backport-Pakete angewiesen sind. Als Alternative stehen die Validierungsmethoden HTTP-01, DNS-01 (Voraussetzung fĂĽr Wildcard-Zertifikate) und seit neuestem auch TLS-ALPN-01 zur VerfĂĽgung, teilt Let's Encrypt mit.
Wegen einer SicherheitslĂĽcke musste die kostenlose CA Let's Encrypt die Validierungsmethode TLS-SNI-01 bereits im Januar 2018 fĂĽr die meisten Nutzer abschalten. Es gab allerdings Ausnahmen fĂĽrs Erneuern bestehender Zertifikate. Die nutzten einige Anwender alter Versionen des offiziellen ACME-Clients Certbot, der vor Version 0.21 nur die TLS-SNI-01-Validierung beherrschte. Eine so alte Version von Certbot ist beispielsweise Teil von Debian Stable. (pmk)
