ritze schrieb am 05.03.2020 09:47:
Gruselig finde ich aber, dass mich kein Browser aktuell vor einem betroffenen Zertifikat warnt. Habe extra eins nicht erneuert, um das real-life mal testen zu koennen. Schliesslich wird der durchschnittliche Anwender sich nicht erst eine Shell oeffnen, um ein Zertifikat zu ueberpruefen, bevor er es im Browser akzeptiert.
1. Sind Sie sicher, dass das betreffene Zertifikat tatsächlich im CRL ist und somit zurückgezogen wurde? Von allen am 3.3. aktive gültigen Lets-Entcrypt Zertifikaten sind nur runde 2% davon betroffen - und davon sind viele Dupes.
2. Wie ist Ihr Browser konfiguriert? Man kann jeden Brwosr so einstellen, dass generell alle CRLs ignoriert werden.
PS: Auf meinen Test-Browser (Firefox 73.0.1 unter linux, default-config nach einer Neu-Installation) werden die zurĂĽckgezogenen Certs von Let's Encrypt schon seit gestern (4.3.) mit Warnhinweis angezeigt. Man kann aber einfach weiter klicken, die VerschlĂĽsselung wird deswegen nicht schlechter und es gibt deswegen auch keine MITMAs.