Let's Encrypt zieht drei Millionen Zertifikate zurück

4. März 2020, 10:50
  • security
  • datenschutz
  • netzwerk
  • channel
image

Die Non-Profit-Organisation muss einen Teil ihrer TLS/SSL-Zertifikate für ungültig erklären. Grund ist ein Fehler bei der Prüfung von CAA-Records.

Ende Februar 2020 gab Let's Encrypt bekannt, dass die Zertifizierungsstelle ihr einmilliardstes SSL-/TLS-Zertifikat in ihrer Geschichte ausgestellt hat. Nun muss das Non-Profit-Unternehmen mit Hauptsitz in San Francisco drei Millionen dieser Zertifikate zurückziehen. Nach eigenen Angaben sind das 2,6% aller aktuell gültigen, rund 116 Millionen Zertifikate.
Grund sei ein Bug im Certificate Authority Authorization (CAA) Code, den Let's Encrypt am vergangenen Wochenende selber entdeckt hatte. Dadurch sei ein Fehler bei der Prüfung der CAA-Records entstanden. Darüber können Domaininhaber festlegen, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen.
Das Zurückziehen der Zertifikate beginne in der Nacht auf Donnerstag 5. März. Die betroffenen Zertifikate sind ab dann ungültig. Browser könnten dann beim Aufruf entsprechender Websites Warnhinweise abgeben. Gemäss 'Golem' reagieren aber nicht alle Browser gleich. So könne etwa Chrome die entsprechenden Seiten nach wie vor abrufen.
Let's Encrypt gab bekannt, die betroffenen Nutzer per Mail zu informieren. Diese müssen sich anschliessend ein neues Zertifikat ausstellen lassen. Allerdings ist die Angabe einer Kontaktmailadresse bei der Nutzung von Let's Encrypt optional, weshalb wohl nicht alle Domain-Verantwortlichen rechtzeitig vom Bug erfahren haben. Über ein Online-Tool kann überprüft werden, ob ein Zertifikat ersetzt werden muss.
Let's Encrypt wurde 2014 unter anderem von Mozilla, Cisco, Akamai und der Electronic Frontier Foundation (EFF) als Non-Profit-Unternehmen gegründet. Die laut Eigenbeschrieb "freie, automatisierte und offene Zertifizierungsstelle" hat bei den SSL-/TLS-Zertifikaten einen Marktanteil von über 50%.

Loading

Mehr zum Thema

image

Tata Consultancy Services: "Wir gehören zu den ganz Grossen in der Schweiz"

Rainer Zahradnik, Chef von TCS Schweiz, erklärt, warum seine Firma hierzulande wenig bekannt ist und was sie für die CO2-Neutralität bezahlt hat.

publiziert am 26.9.2022
image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

Wegen Daten-Spionage: Sammelklage gegen Meta

In einer Klageschrift gegen Meta heisst es, Apps von Instagram und Facebook würden Daten mittels eines JavaScript-Code auf Websites einspeisen.

publiziert am 23.9.2022
image

Das OIZ der Stadt Zürich hat seine SAP-Dienstleister bestimmt

Für 22 Millionen Franken hat sich der Stadtzürcher IT-Dienstleister SAP-Unterstützung in 4 Bereichen gesichert.

publiziert am 23.9.2022