Let's Encrypt hat für die Verbreitung von HTTPS im Internet eine nicht zu unterschätzende Rolle gespielt. Immerhin lassen sich damit passende Zertifikate einfach und kostenlos erstellen – und noch dazu regelmäßig automatisch aktualisieren. Nun sieht sich das Projekt mit einer Art "Worst Case" konfrontiert, der für viele Systemadministratoren Zusatzarbeit bedeutet.

Notbremse

Let's Encrypt will noch am Mittwoch (20:00) rund drei Millionen Zertifikate zurückziehen. Das bedeutet, dass Internetnutzer, die anschließend eine Webseite mit einem betroffenen Zertifikat besuchen, in vielen Fällen eine Fehlermeldung erhalten werden.

Grund dafür ist eine Sicherheitslücke im Certification Authority Authorization (CAA)-Code des Open-Source-Tools Boulder, das eigentlich dafür sorgen soll, dass nur die eigentlichen Besitzer einer Domain für diese Zertifikate ausstellen können. Ein im Juli 2019 eingeschleppter Fehler hat aber genau diese Überprüfung ausgehebelt, wodurch Dritte Zertifikate für fremde Domains erstellen konnten. Der Fehler wurde vor wenigen Tagen behoben, die Konsequenzen sind aber unerfreulich: Da man die Authentizität so nicht gewährleisten kann, müssen nun eben Millionen Zertifikate zurückgezogen werden.

Kritik

So verständlich diese Maßnahme generell ist, so umstritten ist der Umgang von Let's Encrypt damit. Hat man doch den Systemadministratoren zunächst gerade einmal 24 Stunden zur Aktualisierung ihrer Zertifikate gegeben. Nach Kritik hat man diesen Zeitraum nun um einige Stunden erweitert, trotzdem ist davon auszugehen, dass es bei einigen Seiten Probleme geben wird.

Die betroffenen Systemadministratoren wurden von Let's Encrypt direkt via Mail kontaktiert – so dies denn möglich war. Wer sich unsicher ist, ob die eigenen Domain betroffen sind, kann dies über eine eigens eingerichtet Webseite überprüfen. Wer mehrere Zertifikate betreibt, kann auch eine Gesamtliste der betroffenen Zertifikate herunterladen und diese dann anhand der eigenen Account ID durchsuchen. Anschließend ist es über Tools wie certbot recht einfach das betreffende Zertifikat zu erneuern. Weitere Details gibt es in einem eigenen Hilfseintrag.

Umfang

Derzeit hat Let's Encrypt nach eigenen Angaben 116 Millionen gültige Zertifikate ausgestellt. Die betroffenen Zertifikate machen also rund 2,5 Prozent des Gesamtbestands aus (apo, 04.03.2020)