Let's Encrypt schaltet TLS-SNI-01 zum 13. Februar komplett ab
Let's Encrypt schaltet demnächst die Domain-Validierung TLS-SNI-01 für alle Anwender ohne Ausnahmen ab. Admins müssen auf andere Methoden ausweichen.
Let's Encrypt hat angekündigt, TLS-SNI-01 am 13. Februar komplett und ohne Ausnahmen abzuschalten. Anwender alter Certbot-Versionen müssen nun schleunigst auf neue Versionen wechseln, wofür sie bei Debian Stable auf Backport-Pakete angewiesen sind. Als Alternative stehen die Validierungsmethoden HTTP-01, DNS-01 (Voraussetzung für Wildcard-Zertifikate) und seit neuestem auch TLS-ALPN-01 zur Verfügung, teilt Let's Encrypt mit.
Wegen einer Sicherheitslücke musste die kostenlose CA Let's Encrypt die Validierungsmethode TLS-SNI-01 bereits im Januar 2018 für die meisten Nutzer abschalten. Es gab allerdings Ausnahmen fürs Erneuern bestehender Zertifikate. Die nutzten einige Anwender alter Versionen des offiziellen ACME-Clients Certbot, der vor Version 0.21 nur die TLS-SNI-01-Validierung beherrschte. Eine so alte Version von Certbot ist beispielsweise Teil von Debian Stable. (pmk)