Werbung
Restposten Angebote von Amazon: Computer und Zubehör, Baumarkt, Garten, Sport und Freizeit


Let's Encrypt hat 3.048.289 Zertifikate zurückgezogen

Meldung von doelf, Donnerstag der 05.03.2020, 17:23:06 Uhr

Aufgrund eines Sicherheitsproblems hat die Zertifizierungsstelle "Let's Encrypt" mehr als drei Millionen Zertifikate vorzeitig zurückgezogen. Die Maßnahme begann am gestrigen Mittwoch um 21:00 Uhr deutscher Zeit und den Betreibern der betroffenen Webseiten blieb nur etwas mehr als ein Tag, um auf die Ankündigung zu reagieren. In jedem Fall war ein manueller Eingriff erforderlich

Aktuell hat "Let's Encrypt" rund 116 Millionen Zertifikate ausgegeben, so dass 3.048.289 einem Anteil von 2,6 Prozent entsprechen. Bei etwa einem Drittel der zurückgezogenen Zertifikate handelt es sich um Duplikate, womit die Zahl der betroffenen Domains auf um die zwei Millionen sinkt. Dass "Let's Encrypt" derart hektisch reagiert hat, liegt in den strengen Anforderungen des "CA/Browser Forums", welches die verschiedenen Zertifizierungsstellen sowie die Browser-Entwickler repräsentiert, begründet.

Das Problem steckte in der quelloffenen Software "Boulder", welche als "Certification Authority Authorization" fungiert: Wird ein Zertifikat für mehrere Domains herausgegegeben, muss für jede einzelne Domain geprüft werden, ob der Auftraggeber auch die Kontrolle über diese Domain hat und somit ein entsprechendes Zertifikat erhalten darf. Doch statt dies für jede Domain zu prüfen, fragte "Boulder" nur die erste Domain ab, dies allerdings mehrfach, nämlich für die Zahl der angegebenen Domains. Somit war es möglich, Zertifikate für fremde Domains zu erlangen, welche sich beispielsweise für Mittelsmann-Angriffe missbrauchen lassen.

"Let's Encrypt" hatte das Problem am 29. Februar 2020 entdeckt und gut zwei Stunden später repariert. Allerdings bestand das Problem vermutlich schon seit dem 25. Juli 2019. Bisher ist unklar, ob der Fehler in den vergangenen sieben Monaten für Angriffe genutzt wurde.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]