Let's Encrypt - Gratis SSL Zertifikate beziehen - seit 2015 möglich und mit 27.02.20 bereits 1 Millarde an ausgestellten Zertifikaten erreicht !
Ein Bug beim Zertifikatsaussteller führte jedoch nun dazu, dass Dritte Zertifkate für fremde Domains durchführen konnten.
Die Zertifizierungstelle muss daher kurzfristig (Mittwoch 04.03.20) betroffene Zertifikate zurück ziehen.
Das sind weltweit immerhin um die 3 Millionen Zeritifkate - welche neu ausgestellt werden müssen !
Link zum Lets Encrypt Community Forum: Let's Encrypt zieht 3 Millionen Zertifikate zurück
Also Morgen bis 20Uhr, sehr kurzfristig, werden viele Zertifikate unbrauchbar und müssen neu ausgestellt od. gleich auf ein Profi-SSL aufgestockt werden.
Sollten die betroffenen Zertifikat-Besitzer nicht rechtzeitig reagieren, so werden wohl temporär einige Services u. Webseiten von Anbietern wo Let's Encrypt zur Verschlüsselung eingesetzt wird, nicht erreichbar sein - sofern die Applikationen nur per SSL ansteuerbar sind.
Bug bei Let's Encrypt
Das Problem war ein Fehler beim CAA-Check, welcher max. 8 Stunden vor Zertifikatsausstellung stattfinden darf.
Mit CAA (Certificate Authority Authorization) kann der Domaininhaber einen DNS-Record festlegen, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen. Zertifizierungsstellen sind wiederum verpflichtet, diesen Record vor der Ausstellung eines Zertifikats zu prüfen.
Das passiert bei Let's Encrypt automatisch.
Anhand des Bugs wurde diese Prüfung jedoch ausgehebelt, wodurch Dritte Zertifikate für fremde Domains erstellen konnten.
Welche Zertifkate sind nun betroffen ?
Da nicht alle Inhaber vom Austeller kontaktiert werden konnten, gibt es einen CAA Online-Check
Dort kann man seinen Hostname/Domain prüfen kann ob das Zertifikat davon betroffen ist.
Falls das Ergebnis Positiv mit OK erscheint, benötigen Sie keine Neu-Ausstellung des Zertifikates.
Service für unsere Kunden:
Wir haben Webseiten unserer Kunden, welche per https:// via Let's Encrypt verschlüsselt sind, und eine Wartungsvereinbarung mit uns haben, bereits geprüft.
Bisher waren keine davon betroffen - sollte es dennoch zu Problemen kommen bitte unseren Support kontaktieren.
Alle anderen Hosting Kunden, welche ebenfalls Lets Encrypt als SSL für ihre Webseite nutzen, können zur Sicherheit das oben verlinkte Online-Tool nutzen.
Professionelles SSL Zertifikat:
Wir empfehlen für Unternehmen und vor allem für Online Shops, stets auf ein Professionelles Business-SSL Zertifkat zurück zu greifen.
Diese sind zwar Kostenpflichtig, die Laufzeit bis zu einem Renew beträgt jedoch jeweils 1-3 Jahre und zugleich gibt es eine Garantie des Herstellers.
Bei unserem Hosting-Service finden Sie SSL Zertifkate von Comodo, RapidSSL u. Thawte als Single od. auch als Wildcard-Zertifikat.
Wo neben Domain Validierung auch Organisation Validierung auf Ihr Unternehmen möglich sind mit grünem Schloss od. grüner Adresszeile als Vertrauenssymbol.
Quelle/Artikel: Bericht bei Golem