l+f: Keine Musik ohne gültiges Zertifikat
Spotify hat nicht aufgepasst und plötzlich blieben die Lautsprecher stumm.
![l+f: Schlüssel abgehört – echt!](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/2/9/5/6/0/0/8/shutterstock_679388728-0718984b1298d77e.jpeg)
(Bild: norazaminayob/Shutterstock.com)
Weil die Server-Admins des Musikstreaming-Dienstes Spotify ein abgelaufenes TLS-Zertifikat nicht im Blick hatten, kam es weltweit zu Ausfällen und Nutzer konnten keine Musik abspielen. Darüber berichteten mehrere Twitter-Nutzer.
Zum Glück war der Spuk nach rund eineinhalb Stunden vorbei und der Abruf funktionierte wieder. Schuld an der Misere war ein abgelaufenes TLS-Zertifikat auf Wildcard-Basis. Über ein TLS-Zertifikat baut beispielsweise ein Webbrowser eine verschlüsselte Verbindung zu einem Web-Server auf. Wildcard-Zertifikate realisieren das neben Domains auch für Subdomains.
Fluch und Segen
Das ist für Admins praktisch. So müssen sie nicht für jede Instanz ein eigens Zertifikat beantragen und bereitstellen. Wenn man solche Zertifikate aber nicht im Blick hat und die Gültigkeit ausläuft, hat das einen weitreichenderen Schaden, als nur für eine Domain.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)