11
Achtung Lets Encrypt macht Mittwochnacht 3 Millionen Zertifikate ungültig
Die gemeinnützige Zertifizierungsstelle Let's Encrypt macht in der Nacht auf Donnerstag knapp 3 Millionen
TLS-Zertifikate aufgrund eines Sicherheitsproblems in seiner Software ungültig. Webseiten-Admins müssen
sich bis 3 Uhr Nachts mitteleuropäischer Zeit darum kümmern, die entsprechenden Zertifikate auszutauschen.
Wer das nicht tut, läuft Gefahr, dass Besucher seiner Website ab morgen früh TLS-Fehler angezeigt bekommen.
Let's Encrypt hatte betroffene Administratoren per E-Mail informiert, diesen allerdings nur 24 Stunden Zeit
gegeben, sich um die Erneuerung zu kümmern – dafür hagelt es bereits reichlich Kritik. Viele Webadmins
fühlen sich durch die knappe Deadline der Zertifizierungsstelle (CA) überrumpelt.Quelle: https://www.heise.de/security/meldung/Achtung-Let-s-Encrypt-macht-heute- ...
Grüße, Henere
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 554152
Url: https://administrator.de/contentid/554152
Printed on: April 18, 2024 at 12:04 o'clock
11 Comments
Latest comment
Wäre mal interessant zu wissen, wen das betraf und wie deren Systeme gewartet wurden. Afaik hab ich das Problem nicht und ich hab mittlerweile an die 2000 LE Zertifikate (ggf. noch mehr) im Einsatz.
Ich hab nur für 2 von ca. 60 Maschinen eine "ACTION REQUIRED"-E-Mail von LetsEncrypt erhalten.
Dabei sind die alle quasi gleich eingerichtet worden.
Dabei sind die alle quasi gleich eingerichtet worden.
Kannst du bei den 2en eine Besonderheit feststellen?
Nein wie gesagt ich hab die alle gleich eingerichtet.
Also wie auf der Seite beschrieben:
Alle http-Challenge.
Also wie auf der Seite beschrieben:
wget https://dl.eff.org/certbot-auto
mv certbot-auto /usr/local/bin/certbot-auto
chown root /usr/local/bin/certbot-auto
chmod 0755 /usr/local/bin/certbot-auto
Moin,
Es geht darum, dass LE als CA keine CAA DNS Einträge überprüft hat. CAA-DNS-Einträge legen fest, welche CA für eine Domain Zertifikate ausstellen kann. Diese werden von manchen (soweit ich weiß noch nicht allen) CAs abgefragt und sollte das eigene CA gelistet sein, darf dann ein Zertifikat ausgestellt werden. Hierdurch soll das fälschliche Ausstellen von Zertifikate durch andere CAs verhindert werden.
Da bei LE ein Software Bug dafür gesorgt hat, dass diese Prüfung nicht richtig durchgeführt wurde, wurden somit ggf. nicht-autorisierte Zertifikate ausgestellt. Diese wurden im Rahmen dieser Aktion nun bereinigt.
Offizielles Statement dazu: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Gruß
Chris
Es geht darum, dass LE als CA keine CAA DNS Einträge überprüft hat. CAA-DNS-Einträge legen fest, welche CA für eine Domain Zertifikate ausstellen kann. Diese werden von manchen (soweit ich weiß noch nicht allen) CAs abgefragt und sollte das eigene CA gelistet sein, darf dann ein Zertifikat ausgestellt werden. Hierdurch soll das fälschliche Ausstellen von Zertifikate durch andere CAs verhindert werden.
Da bei LE ein Software Bug dafür gesorgt hat, dass diese Prüfung nicht richtig durchgeführt wurde, wurden somit ggf. nicht-autorisierte Zertifikate ausgestellt. Diese wurden im Rahmen dieser Aktion nun bereinigt.
Offizielles Statement dazu: https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591
Gruß
Chris
1
Das ging an mir vorbei, bedeutet aber auch, dass die fehlerhaften Zertifikate sowieso nicht legitim gewesen sind?
Moin,
nein, das bedeutet das nicht. Nur, dass man nicht wirklich überprüfen konnte, dass zum Zeitpunkt der Ausstellung Letsencrypt als CA für diese Domain zugelassen war. Im Grunde ist es ein Cache-Invalidierungsproblem, da die Re-validierung der CAA-DNS-Einträge nicht so stattgefunden hat, wie sie sollte.
Im Grunde gibt es einfach nur das Problem, dass eben die CAA-Eintragsüberprüfung, wenn ein Zertifikat für mehr als eine Domain gültig ist, im Zweifel ein Bereitstellen der Zertifikate für biszu 30 Tage erlaubt hat/hätte, obwohl innerhalb dieser 30 Tage eine Änderung im CAA-Record einer Domain vorliegen hätte können, welche eben LE das erstellen eines solchen Zertifikats untersagt.
Kurz um: Es besteht eine theoretische Möglichkeit dass sich jemand ein Zertifikate trotz Verbot durch CAA Eintrag erschleichen konnte. Entsprechend ist LE dazu gezwungen alle diese möglichen Zertifikate zu revoken.
Gruß
Chris
nein, das bedeutet das nicht. Nur, dass man nicht wirklich überprüfen konnte, dass zum Zeitpunkt der Ausstellung Letsencrypt als CA für diese Domain zugelassen war. Im Grunde ist es ein Cache-Invalidierungsproblem, da die Re-validierung der CAA-DNS-Einträge nicht so stattgefunden hat, wie sie sollte.
Im Grunde gibt es einfach nur das Problem, dass eben die CAA-Eintragsüberprüfung, wenn ein Zertifikat für mehr als eine Domain gültig ist, im Zweifel ein Bereitstellen der Zertifikate für biszu 30 Tage erlaubt hat/hätte, obwohl innerhalb dieser 30 Tage eine Änderung im CAA-Record einer Domain vorliegen hätte können, welche eben LE das erstellen eines solchen Zertifikats untersagt.
Kurz um: Es besteht eine theoretische Möglichkeit dass sich jemand ein Zertifikate trotz Verbot durch CAA Eintrag erschleichen konnte. Entsprechend ist LE dazu gezwungen alle diese möglichen Zertifikate zu revoken.
Gruß
Chris
Kurz um: Es besteht eine theoretische Möglichkeit dass sich jemand ein Zertifikate trotz Verbot durch CAA Eintrag erschleichen konnte. Entsprechend ist LE dazu gezwungen alle diese möglichen Zertifikate zu revoken.
Darauf bezog ich mich, weswegen meine Aussage schliesslich doch stimmt.
Bsp ich arbeite aus einem Netz intern.domain.com und schaffe es irgendwie mir einen Verweis von aussen auf meinen kleinen privaten Webserver auf dem Notebook herzustellen. Schön bin ich im Besitz eines illegitimen le zerts. Mal angenommen ich mach das ohne das wissen eines admins oder stümperhaft als einer... Also dürfte es da auch nicht soo viele kritische Opfer geben.
Darauf bezog ich mich, weswegen meine Aussage schliesslich doch stimmt.
Bsp ich arbeite aus einem Netz intern.domain.com und schaffe es irgendwie mir einen Verweis von aussen auf meinen kleinen privaten Webserver auf dem Notebook herzustellen. Schön bin ich im Besitz eines illegitimen le zerts. Mal angenommen ich mach das ohne das wissen eines admins oder stümperhaft als einer... Also dürfte es da auch nicht soo viele kritische Opfer geben.
Wie gesagt, soweit ersichtlich ist keines meiner le zerts davon betroffen.
Moin,
waren dann doch nur 1.7 Mio
https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur ...
Gruss
waren dann doch nur 1.7 Mio
https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur ...
Gruss
Zitat von @falscher-sperrstatus:
Wie gesagt, soweit ersichtlich ist keines meiner le zerts davon betroffen.
Ich bekam am Dienstag auch die Meldung, dass Certs für einen von mir betreuten Exchange 2010 betroffen sind.Wie gesagt, soweit ersichtlich ist keines meiner le zerts davon betroffen.
Dann habe ich mir die Zertifikate auf dem Exchange angeschaut. Diese werden per sceduled task wöchentlich aktualisiert. Die betroffenen Zertifikate waren zwar noch vorhanden, aber keinen Diensten mehr zugewiesen, weil zwischenzeitlich schon neuere vorhanden waren.
Die betroffenen habe ich dann entfernt.
