henere
Goto Top

Achtung Lets Encrypt macht Mittwochnacht 3 Millionen Zertifikate ungültig

Die gemeinnützige Zertifizierungsstelle Let's Encrypt macht in der Nacht auf Donnerstag knapp 3 Millionen   
TLS-Zertifikate aufgrund eines Sicherheitsproblems in seiner Software ungültig. Webseiten-Admins müssen
sich bis 3 Uhr Nachts mitteleuropäischer Zeit darum kümmern, die entsprechenden Zertifikate auszutauschen. 
Wer das nicht tut, läuft Gefahr, dass Besucher seiner Website ab morgen früh TLS-Fehler angezeigt bekommen. 
Let's Encrypt hatte betroffene Administratoren per E-Mail informiert, diesen allerdings nur 24 Stunden Zeit   
gegeben, sich um die Erneuerung zu kümmern – dafür hagelt es bereits reichlich Kritik. Viele Webadmins
fühlen sich durch die knappe Deadline der Zertifizierungsstelle (CA) überrumpelt.

Quelle: https://www.heise.de/security/meldung/Achtung-Let-s-Encrypt-macht-heute- ...

Grüße, Henere

Content-ID: 554152

Url: https://administrator.de/contentid/554152

Printed on: October 15, 2024 at 02:10 o'clock

certifiedit.net
certifiedit.net Mar 05, 2020 at 09:53:53 (UTC)
Goto Top
Wäre mal interessant zu wissen, wen das betraf und wie deren Systeme gewartet wurden. Afaik hab ich das Problem nicht und ich hab mittlerweile an die 2000 LE Zertifikate (ggf. noch mehr) im Einsatz.
bloodstix
bloodstix Mar 05, 2020 at 10:49:55 (UTC)
Goto Top
Ich hab nur für 2 von ca. 60 Maschinen eine "ACTION REQUIRED"-E-Mail von LetsEncrypt erhalten.
Dabei sind die alle quasi gleich eingerichtet worden.
certifiedit.net
certifiedit.net Mar 05, 2020 at 10:56:20 (UTC)
Goto Top
Kannst du bei den 2en eine Besonderheit feststellen?
bloodstix
bloodstix Mar 05, 2020 at 12:28:09 (UTC)
Goto Top
Nein wie gesagt ich hab die alle gleich eingerichtet.
Also wie auf der Seite beschrieben:
wget https://dl.eff.org/certbot-auto
mv certbot-auto /usr/local/bin/certbot-auto
chown root /usr/local/bin/certbot-auto
chmod 0755 /usr/local/bin/certbot-auto
Alle http-Challenge.
Sheogorath
Sheogorath Mar 05, 2020 at 17:21:50 (UTC)
Goto Top
Moin,

Es geht darum, dass LE als CA keine CAA DNS Einträge überprüft hat. CAA-DNS-Einträge legen fest, welche CA für eine Domain Zertifikate ausstellen kann. Diese werden von manchen (soweit ich weiß noch nicht allen) CAs abgefragt und sollte das eigene CA gelistet sein, darf dann ein Zertifikat ausgestellt werden. Hierdurch soll das fälschliche Ausstellen von Zertifikate durch andere CAs verhindert werden.

Da bei LE ein Software Bug dafür gesorgt hat, dass diese Prüfung nicht richtig durchgeführt wurde, wurden somit ggf. nicht-autorisierte Zertifikate ausgestellt. Diese wurden im Rahmen dieser Aktion nun bereinigt.

Offizielles Statement dazu: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591

Gruß
Chris
certifiedit.net
certifiedit.net Mar 05, 2020 at 18:42:51 (UTC)
Goto Top
Das ging an mir vorbei, bedeutet aber auch, dass die fehlerhaften Zertifikate sowieso nicht legitim gewesen sind?
Sheogorath
Sheogorath Mar 05, 2020 at 18:57:40 (UTC)
Goto Top
Moin,

nein, das bedeutet das nicht. Nur, dass man nicht wirklich überprüfen konnte, dass zum Zeitpunkt der Ausstellung Letsencrypt als CA für diese Domain zugelassen war. Im Grunde ist es ein Cache-Invalidierungsproblem, da die Re-validierung der CAA-DNS-Einträge nicht so stattgefunden hat, wie sie sollte.

Im Grunde gibt es einfach nur das Problem, dass eben die CAA-Eintragsüberprüfung, wenn ein Zertifikat für mehr als eine Domain gültig ist, im Zweifel ein Bereitstellen der Zertifikate für biszu 30 Tage erlaubt hat/hätte, obwohl innerhalb dieser 30 Tage eine Änderung im CAA-Record einer Domain vorliegen hätte können, welche eben LE das erstellen eines solchen Zertifikats untersagt.

Kurz um: Es besteht eine theoretische Möglichkeit dass sich jemand ein Zertifikate trotz Verbot durch CAA Eintrag erschleichen konnte. Entsprechend ist LE dazu gezwungen alle diese möglichen Zertifikate zu revoken.

Gruß
Chris
certifiedit.net
certifiedit.net Mar 05, 2020 at 19:29:48 (UTC)
Goto Top
Kurz um: Es besteht eine theoretische Möglichkeit dass sich jemand ein Zertifikate trotz Verbot durch CAA Eintrag erschleichen konnte. Entsprechend ist LE dazu gezwungen alle diese möglichen Zertifikate zu revoken.


Darauf bezog ich mich, weswegen meine Aussage schliesslich doch stimmt.

Bsp ich arbeite aus einem Netz intern.domain.com und schaffe es irgendwie mir einen Verweis von aussen auf meinen kleinen privaten Webserver auf dem Notebook herzustellen. Schön bin ich im Besitz eines illegitimen le zerts. Mal angenommen ich mach das ohne das wissen eines admins oder stümperhaft als einer... Also dürfte es da auch nicht soo viele kritische Opfer geben.
certifiedit.net
certifiedit.net Mar 05, 2020 at 19:30:22 (UTC)
Goto Top
Wie gesagt, soweit ersichtlich ist keines meiner le zerts davon betroffen.
sabines
sabines Mar 06, 2020 at 05:50:51 (UTC)
Goto Top
goscho
goscho Mar 06, 2020 at 11:55:26 (UTC)
Goto Top
Zitat von @certifiedit.net:

Wie gesagt, soweit ersichtlich ist keines meiner le zerts davon betroffen.
Ich bekam am Dienstag auch die Meldung, dass Certs für einen von mir betreuten Exchange 2010 betroffen sind.
Dann habe ich mir die Zertifikate auf dem Exchange angeschaut. Diese werden per sceduled task wöchentlich aktualisiert. Die betroffenen Zertifikate waren zwar noch vorhanden, aber keinen Diensten mehr zugewiesen, weil zwischenzeitlich schon neuere vorhanden waren.
Die betroffenen habe ich dann entfernt.