Start Empfohlen Let’s Encrypt widerruft digitale Zertifikate, nachdem ein CAA-Fehler entdeckt wurde

Let’s Encrypt widerruft digitale Zertifikate, nachdem ein CAA-Fehler entdeckt wurde

73
0


Rotes und blaues Sicherheitsschloss

Let’s Encrypt hat einen Fehler in seinem CAA-Code (Certificate Authority Authorization) entdeckt und muss heute Millionen von Zertifikaten widerrufen, es sei denn, Kunden erzwingen eine Erneuerung ihrer Zertifikate.

Jede Site, die ihr Zertifikat nicht erneuert, zeigt den Besuchern Sicherheitswarnungen an, bis das Problem behoben ist. Obwohl keine spezifischen Sites erwähnt wurden, besteht die Möglichkeit, dass bei bis zu drei Millionen beteiligten Zertifikaten einige hochkarätige Sites betroffen sein könnten.

Der Fehler bedeutet, dass es ein Problem gibt, zu überprüfen, ob ein Let’s Encrypt-Abonnent ein gültiges Sicherheitszertifikat für alle seine Domains hat. Nur zwei Stunden nachdem der Fehler entdeckt wurde, wurde ein Fix veröffentlicht, aber Zertifikate müssen erneuert werden, damit dies Wirkung zeigt.

Let’s Encrypt gepostet a Sicherheitsberatung zur Fehlersuche:

Am 29.02.2020 UTC hat Let’s Encrypt einen Fehler in unserem CAA-Code gefunden. Unsere CA-Software Boulder prüft auf CAA-Einträge und validiert gleichzeitig die Kontrolle eines Abonnenten über einen Domainnamen. Die meisten Abonnenten stellen ein Zertifikat unmittelbar nach der Domänenkontrollvalidierung aus, aber wir halten eine Validierung für 30 Tage für gültig. Das bedeutet, dass wir in einigen Fällen die CAA-Einträge ein zweites Mal überprüfen müssen, kurz vor der Ausstellung. Insbesondere müssen wir CAA innerhalb von 8 Stunden vor der Ausstellung überprüfen (gemäß BRs §3.2.2.8), sodass jeder Domainname, der vor mehr als 8 Stunden validiert wurde, erneut überprüft werden muss.

Der Fehler: Wenn eine Zertifikatsanforderung N Domänennamen enthielt, die eine erneute CAA-Prüfung erforderten, wählte Boulder einen Domänennamen aus und prüfte ihn N-mal. In der Praxis bedeutet dies, dass, wenn ein Abonnent einen Domänennamen zum Zeitpunkt X validiert und die CAA-Einträge für diese Domäne zum Zeitpunkt X die Ausstellung von Let’s Encrypt zulassen, dieser Abonnent ein Zertifikat mit diesem Domänennamen bis X+30 ausstellen kann Tage, selbst wenn jemand später CAA-Einträge auf diesem Domainnamen installiert hat, die die Ausgabe durch Let’s Encrypt verbieten.

Wir haben den Fehler am 29.02.2020 03:08 UTC bestätigt und die Ausgabe um 03:10 Uhr angehalten. Wir haben um 05:22 UTC einen Fix bereitgestellt und dann die Ausgabe wieder aktiviert.

Unsere vorläufige Untersuchung legt nahe, dass der Fehler am 25.07.2019 eingeführt wurde. Wir werden eine genauere Untersuchung durchführen und eine Obduktion erstellen, wenn diese abgeschlossen ist.

In einem separater Beitrag, Let’s Encrypt gibt Details zu betroffenen Seriennummern und einen Link zu einem Dienstprogramm zur Überprüfung von Hostnamen für alle, die überprüfen möchten, ob ihre Domains betroffen sind.

Bildnachweis: deepadesigns / Shutterstock



Vorheriger ArtikelStarTech Thunderbolt 3 Dual-4K Dockingstation mit SD-Kartensteckplatz ist das ultimative MacBook Pro Dock [Review]
Nächster ArtikelGoogle stellt Fastboot und ADB als separate Downloads für Windows, Mac und Linux zur Verfügung

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein