Let’s Encrypt: Eine Million nicht konforme Zertifikate nach Fehler

Let’s Encrypt hat bekannt gegeben, dass über eine Million seiner HTTPS-Zertifikate, die einen Fehler in seinem automatischen Validierungscode enthalten, bis zum 5. März nicht widerrufen werden, obwohl sie nicht konform sind.

Die Organisation für freie TLS-Zertifikate hat den Fehler Ende Februar entdeckt. Er liegt in dem Code, der bei jeder Erneuerung der Zertifikate auf eine Certificate Authority Authorization (CAA) prüft, um sicherzustellen, dass der Domaininhaber keine Beschränkungen für die Erneuerung festgelegt hat.

Let’s Encrypt: Eine Million nicht konforme Zertifikate nach Fehler

Der Fehler bedeutet, dass bei Web-Besitzern mit mehreren Domains die automatischen Überprüfungen von Let’s Encrypt nur eine dieser Domains gescannt haben und die anderen fehlen. Das könnte sie theoretisch der Gefahr einer Entführung durch Cyberkriminelle aussetzen.

Als Folge davon kündigte Let’s Encrypt an, dass etwa 2,6 % der aktiven Registrierungen widerrufen werden, was drei Millionen Zertifikate entspricht. Josh Aas, Geschäftsführer der gemeinnützigen Forschungsgruppe für Internetsicherheit (ISRG), erklärte, dass er dies tue, weil „die Regeln der Industrie verlangen, dass wir Zertifikate widerrufen, die nicht in voller Übereinstimmung mit bestimmten Standards ausgestellt wurden“.

Doch obwohl die Organisation mit den Web-Besitzern zusammengearbeitet hat, um die betroffenen Zertifikate so schnell wie möglich zu ersetzen, sind die Dinge nicht nach Plan verlaufen, und viele dieser Zertifikate sind theoretisch immer noch der Ausbeutung ausgesetzt.

„Leider halten wir es für wahrscheinlich, dass mehr als eine Million Zertifikate nicht ersetzt werden, bevor die Frist für die Einhaltung der Widerrufsfrist abgelaufen ist. Anstatt so viele Websites zu zerstören und ihre Besucher zu beunruhigen, haben wir beschlossen, dass es im besten Interesse der Gesundheit des Internets liegt, diese Zertifikate nicht vor Ablauf der Frist zu widerrufen“, erklärte Aas am Mittwochabend.

„Let’s Encrypt bietet nur Zertifikate mit einer Lebensdauer von 90 Tagen an, so dass potenziell betroffene Zertifikate, die wir nicht widerrufen dürfen, das Ökosystem relativ schnell verlassen werden. Wir planen, weitere Zertifikate zu widerrufen, da wir davon überzeugt sind, dass dies für die Web-Benutzer nicht unnötig störend sein wird.

Die Nachricht kommt nur wenige Tage nachdem die von der ISRG unterstützte Initiative das milliardste Zertifikat ausgestellt hat, was angeblich ein Meilenstein für den Datenschutz und die Sicherheit der Benutzer im Internet ist.

Kevin Bocek, VP der Sicherheitsstrategie und der Aufklärung von Bedrohungen bei Venafi, argumentierte, dass Vorfälle wie diese den besorgniserregenden Mangel an Einsicht in die Anzahl der Zertifikate oder „Maschinen-Identitäten“ vieler Firmen verdeutlichen, die sie betreiben.

„Wenn ein solches Ereignis eintritt, müssen Organisationen in der Lage sein, ihre alten Maschinenidentitäten schnell gegen neue, sichere auszutauschen. Die meisten verstehen jedoch ihre Maschinen-Identitäten nicht oder haben keinen Einblick in diese“, fügte er hinzu.

„Sie wissen nicht, wie viele Identitäten sie haben – eine Zahl, die in die Zehntausende gehen könnte – sie wissen nicht, wer sie ausgegeben hat oder wofür sie benutzt wird. Hinzu kommt, dass die einzige Möglichkeit, sie zu aktualisieren, darin besteht, jede einzelne Identität zu durchsuchen und manuell zu finden und zu ersetzen.

Die Antwort ist die Investition in Tools, die die Entdeckung und Verwaltung von Zertifikaten automatisieren, schloss Bocek.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

WordPress Cookie Plugin von Real Cookie Banner