Let's Encrypt hat vorerst doch "nur" 1,7 Millionen Zertifikate zurĂĽckgezogen
Von 3 Millionen Zertifikaten hat Let's Encrypt Mittwochnacht gut die Hälfte ungültig gemacht. Gültig blieben die, die aktuell für Websites genutzt werden.
Eigentlich wollte die Zertifizierungsstelle (CA) Let's Encrypt vergangene Mittwochnacht bis 3 Uhr mitteleuropäischer Zeit ganze 3 Millionen TLS-Zertifikate aufgrund eines Sicherheitsproblems ungültig machen. Betroffene Admins wurden 24 Stunden zuvor per E-Mail informiert, um ihnen ausreichend Zeit für den fälligen Zertifikatswechsel zu geben. Dem Sicherheitsproblem liegt ein Bug zugrunde, den wir am gestrigen Mittwoch detailliert in einer Meldung beschrieben haben.
Einer aktuellen Mitteilung von Let's Encrypt ist allerdings zu entnehmen, dass 1,3 Millionen Zertifikate nun doch bis auf weiteres ihre GĂĽltigkeit behalten. Es handelt sich um jene, die noch immer fĂĽr Websites verwendet und nicht bereits von den verantwortlichen Admins gegen neue ausgetauscht wurden.
"Gesundheit des Internet" wichtiger als Deadline
Ungültig gemacht habe die Zertifizierungsstelle 1.706.505 Zertifikate, bei denen sie zuversichtlich sei, dass sie bereits ausgetauscht worden seien ("certificates that we are confident were replaced during the incident period"). Dazu kamen noch 445 Zertifikate, deren Rückzug hohe Priorität gehabt habe, da zwischenzeitlich Certification Authority Authorization (CAA)-Einträge vorgenommen worden seien, die die Ausstellung eines TLS-Zertifikats durch Let's Encrypt für die betreffende Domain verboten.
Die CA befand die gesetzte Deadline laut Mitteilung fĂĽr weniger wichtig als die "Gesundheit des Internet". Man habe vermeiden wollen, so viele Websites vorĂĽbergehend "kaputtzumachen" und damit auch Unannehmlichkeiten fĂĽr deren Besucher zu verursachen.
Let's Encrypt kündigte allerdings an, noch weitere Zertifikate zurückziehen zu wollen, sobald man zuversichtlich sei, dass dies "keine unnötige Störung für Internetnutzer mit sich bringe". Konkretere Angaben macht die CA nicht. Sie weist außerdem darauf hin, dass Let's-Encrypt-Zertifikate generell nur 90 Tage gültig seien, so dass sich das Problem relativ schnell von selbst erledige.
(ovw)