Login
Newsletter
Werbung

Mi, 4. März 2020, 09:48

Software::Security

Let's Encrypt wideruft 3 Millionen Zertifikate

Aufgrund eines Fehlers in der Software erklärt die CA Let's Encrypt heute mehr als drei Millionen Zertifikate für ungültig. Der Widerruf der betroffenen Zertifikate wird bis morgen andauern.

Internet Security Research Group

Vor einigen Tagen erschien auf der Gemeinschafts-Webseite von Let's Encrypt eine Meldung, die den Widerruf von über drei Millionen Zertifikaten aufgrund eines Software-Fehlers für den 4. März ankündigte. Das sind 2,6 Prozent der derzeit gültigen rund 116 Millionen Zertifikate.

Der Fehler, der den Namen 2020.02.29 CAA Rechecking Bug trägt und der vermutlich am 25. Juli 2019 eingeschleppt wurde, befindet sich in Boulder, der Software, die das automatisierte Ausstellen von Zertifikaten überwacht. Die Software kontrolliert unter anderem die CAA-Records, um sicherzustellen, dass die Domains auch unter der Kontrolle des Antragsstellers sind.

Der Fehler in der in Go geschriebenen Anwendung lag in der Iteration über mehrere zu prüfende Domainnamen. Wenn ein Antragsteller ein Zertifikat anfordert und die Legitimität der Anfrage bestätigt ist, hat er bis zu 30 Tage Zeit, das Zertifikat auch ausstellen zu lassen. In solchen Fällen ist gesetzlich vorgeschrieben, dass die CAA-Records vor Ausstellung nochmals überprüft werden. Bei der erneuten Überprüfung von beispielsweise 10 Domainnamen eines Antragsstellers überprüfte die Software aufgrund des Fehlers die erste Domain 10 Mal anstatt alle 10 Domains einmal.

Besitzer eines Zertifikats von Let's Encrypt, das widerrufen werden muss, wurden per E-Mail informiert, sofern sie bei der Einrichtung des ACME-Accounts eine noch gültige E-Mail-Adresse hinterlassen hatten. Darüber hinaus stellt die CA ein Werkzeug zur Überprüfung bereit, in das der Domainname eingegeben werden kann. Müssen viele Domains überprüft werden, steht dafür ein weiteres Werkzeug bereit.

Darüber hinaus kann eine Liste der IDs aller betroffenen Zertifikate heruntergeladen werden. Die ID der eigenen Zertifikate kann unter Linux mit dem Befehl openssl s_client -connect example.com:443 -servername example.com -showcerts </dev/null 2>/dev/null | openssl x509 -text -noout | grep -A 1 Serial\ Number | tr -d : ermittelt werden. Zertifikate, die seit dem 29.02.2020 erneuert wurden, sind nicht vom Widerruf betroffen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung