Let's Encrypt zieht bestimmte Zertifikate nach Prüfungsfehler vorzeitig zurück

Ab Freitag wird Let's Encrypt Zertifikate zurückziehen, deren Domaininhaberschaften bis zum 26. Januar 2022 mit einer bestimmten Challenge verifiziert wurden.

In Pocket speichern vorlesen Druckansicht 242 Kommentare lesen
Aufmacherbild Bestimmte Let's Encrypt-Certs zurückgezogen

(Bild: wk1003mike/Shutterstock.com)

Lesezeit: 2 Min.
Von

Aufgrund eines fehlerbehafteten Prüfmechanismus gelten alle Zertifikate, die vom Let's Encrypt-Projekt mit diesem speziellen erstellt wurden, als fehlerhaft ausgegeben. Daher zieht Let's Encrypt ab Freitag dieser Woche, also dem 28. Januar 2022, diese Zertifikate zurück.

Das Let's Encrypt-Projekt stellt kostenlose TLS-Zertifikate etwa für Webserver zur Verfügung, die damit die Kommunikationen zwischen Client und Server verschlüsseln. Dazu automatisiert das Projekt alles, bis hin zur Prüfung, ob eine Domain der anfragenden Person oder Organisation gehört.

Das Projekt erläutert, dass die Fehler einen – standardmäßig nicht voreingestellten – von mehreren verfügbaren Prüfmechanismen betrafen: die sogenannte TLS-ALPN-01-Challenge, mit der Nutzer den Besitz einer Domain beweisen können. In der Nacht zum Mittwoch habe man die Fehler behoben. Die Zertifikate der bis dahin damit verifizierten Domains gelten aber als fehlerhaft ausgestellt und werden gemäß der Richtlinien von Let's Encrypt innerhalb von fünf Tagen zurückgezogen.

Der Automatic Certificate Management Environment-Standard (ACME) aus dem RFC 8737 beschreibt die sichere automatische Zertifikatsverwaltung und -Prüfung. Laut Beschreibung von Let's Encrypt forciert deren ACME-Client nun die Nutzung von TLS 1.2 oder neuer. Außerdem nutzt der Client nicht mehr die veraltete OID aus früheren Entwürfen des RFC 8737 zur Identifizierung der acmeIdentifier-Erweiterung, sondern eine neuere. Diese OIDs (Object Identifier) sind ebenfalls global standardisiert und katalogisieren bestimmte Informationen wie Namen oder Ansprechpartner anhand einer Nummer.

Let's Encrypt erklärt, dass der Challenge-Typ TLS-ALPN-01 für die meisten Nutzer nicht sinnvoll sei und etwa im Zusammenspiel mit TLS-terminierenden Reverse-Proxies die beste Variante sei. Dementsprechend sind vergleichsweise wenige Nutzer mit dem Problem konfrontiert. Angesichts von rund 220 Millionen aktiven Zertifikaten, die die Let's Encrypt-Statistik ausweist, sind das dennoch sicherlich eine Menge.

Betroffene Nutzer erhalten eine Benachrichtigung per E-Mail, sofern sie eine gültige Adresse in ihrem ACME-Konto angegeben haben. Let's Encrypt schätzt in der Ankündigung, dass weniger als ein Prozent der aktiven Zertifikate zurückgezogen werden muss. Administratoren, die auf Let's Encrypt-Zertifikate mit TLS-ALPN-01-Challenge setzen, sollten zeitnah manuell ihre Zertifikate erneuern, sodass die damit ausgestatteten Server weiter sicher zugreifbar bleiben.

(dmk)