Let's Encrypt schaltet TLS-SNI-01 zum 13. Februar komplett ab
Let's Encrypt schaltet demnächst die Domain-Validierung TLS-SNI-01 für alle Anwender ohne Ausnahmen ab. Admins müssen auf andere Methoden ausweichen.
![Verschlüsselung](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/5/8/4/1/2/2/urn-newsml-dpa-com-20090101-151204-99-95784_large_4_3-1b94902ba7cf9f48.jpeg)
Let’s Encrypt bietet kostenlose Zertifikate. Die Domaininhaber müssen mit einer von mehreren Validierungsmethoden nachweisen, dass sie die Kontrolle über die Domain besitzen.
(Bild: dpa, Oliver Berg)
Let's Encrypt hat angekündigt, TLS-SNI-01 am 13. Februar komplett und ohne Ausnahmen abzuschalten. Anwender alter Certbot-Versionen müssen nun schleunigst auf neue Versionen wechseln, wofür sie bei Debian Stable auf Backport-Pakete angewiesen sind. Als Alternative stehen die Validierungsmethoden HTTP-01, DNS-01 (Voraussetzung für Wildcard-Zertifikate) und seit neuestem auch TLS-ALPN-01 zur Verfügung, teilt Let's Encrypt mit.
Wegen einer Sicherheitslücke musste die kostenlose CA Let's Encrypt die Validierungsmethode TLS-SNI-01 bereits im Januar 2018 für die meisten Nutzer abschalten. Es gab allerdings Ausnahmen fürs Erneuern bestehender Zertifikate. Die nutzten einige Anwender alter Versionen des offiziellen ACME-Clients Certbot, der vor Version 0.21 nur die TLS-SNI-01-Validierung beherrschte. Eine so alte Version von Certbot ist beispielsweise Teil von Debian Stable. (pmk)