Login
Newsletter
Werbung

Mi, 14. März 2018, 08:46

Software::Security

Let's Encrypt führt Wildcard-Zertifikate ein

Let's Encrypt gibt die Freigabe von ACMEv2 und damit einhergehend die Möglichkeit zum Ausstellen von Wildcard-Zertifikaten bekannt.

Internet Security Research Group

Let's Encrypt, die Zertifizierungsstelle für kostenlose TLS-Zertifikate zur Absicherung von Webseiten mittels HTTPS, gibt die leicht verspätete Freigabe des Protokolls ACMEv2 sowie der Möglichkeit, Wildcard-Zertifikate auszustellen bekannt. Eigentlich war die Veröffentlichung bereits für den Januar und dann für Februar geplant. Der Qualitätssicherung zuliebe wurde die Freigabe aber nach hinten verschoben. Der Grund für die Verschiebung war eine gemeldete Sicherheitslücke in TLS-SNI-01, einer der drei Validierungsmethoden von Let's Encrypt. Die Nutzung von TLS-SNI zur Überprüfung der Validierung wurde daraufhin gesperrt. Die Überprüfung der Sachlage habe die meisten Entwickler für zwei Wochen beschäftigt, so Geschäftsführer Josh Aas.

ACMEv2 ist eine aktualisierte Version des »Automated Certificate Management Environment«-Protokolls, das den IETF-Standardprozess unter Einbeziehung des Feedbacks von Branchenexperten und anderen Organisationen durchlaufen hat. Mit Wildcard-Zertifikaten können alle Subdomains einer Domain mit einem einzigen Zertifikat abgesichert werden.

Wie Aas in der Ankündigung schreibt, können Wildcard-Zertifikate die Zertifikatsverwaltung in einigen Fällen vereinfachen. Für die meisten Anwendungsfälle empfiehlt er nach wie vor Nicht-Wildcard-Zertifikate. Ein einzelnes Let's-Encrypt-Konto kann über einen Zeitraum von drei Stunden bis zu 300 Wildcard-Zertifikate anfordern, sodass auch Hosting-Provider Anfragen für Kunden zügig bearbeiten können.

Wildcard-Zertifikate sind nur über ACMEv2 verfügbar. Um ACMEv2 für Wildcard- oder Nicht-Wildcard-Zertifikate verwenden zu können, wird ein Client benötigt, der bereits aktualisiert wurde, um ACMEv2 zu unterstützen. Anwender sollten zeitnah auf ACMEv2 umzustellen, obwohl noch kein End-of-Life-Datum für das ACMEv1-API festgelegt wurde. Weitere technische Einzelheiten vermittelt ein Artikel im Community-Blog.

Werbung
Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung