Webhosting News

Let’s Encrypt, die Zertifizierungsstelle wodurch SSL Zertifikate seit 2015 gratis bezogen werden können, verursachte Probleme.

Ein Fehler beim Hersteller führte dazu, dass der CAA-DNS-Record Check nicht korrekt durchgeführt wurde.

Die Zertifizierungstelle muss daher kurzfristig betroffene Zertifikate zurück ziehen – betroffen sind wohl etwa 3 Millionen Zeritifkate weltweit.

Das hört sich viel an, ist aber nur ein kleiner Teil, denn am 27.02 hat Let’s Encrypt die 1 Millarde an ausgestellten Zertifikaten erreicht, und kommt somit auf fast jedem Webserver zum Einsatz.

> Let’s Encrypt zieht 3 Millionen Zertifikate zurück

Morgen am 04.03.20 ist es soweit – sehr kurzfristig nach der Ankündigung werden einige Zertifikate unbrauchbar und müssen neu ausgestellt werden.
Denn dadurch werden ggf. auch die dahinterliegenden Services und Webseiten, welche mit Lets Encrypt SSL verschlüsselt wurden, unnützbar – sofern nur per SSL erreichbar.

Das Problem war ein Fehler beim CAA-Check, welcher max. 8 Stunden vor Zertifikatsausstellung stattfinden darf.
Mit CAA (Certificate Authority Authorization) kann der Domaininhaber einen DNS-Record festlegen, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen.
Zertifizierungsstellen sind wiederum verpflichtet, diesen Record vor der Ausstellung eines Zertifikats zu prüfen – dies läuft bei Let’s Encrypt automatisch ab.

Anhand dieses Bugs wurde nun die genannte Prüfung ausgehebelt, wodurch jedermann Zertifikate für fremde Domains erstellen konnte, von denen man nicht der Inhaber ist.

Welche Zertifkate sind nun betroffen ?

Da nicht alle Inhaber vom Austeller kontaktiert werden konnten, gibt es einen CAA Online-Check – womit man Prüfen kann ob sein Zertifikat betroffen ist.

Unser Service für unsere Kunden:

Wir haben Webseiten unserer Kunden, welche per https:// via Let’s Encrypt verschlüsselt sind, und eine Wartungsvereinbarung mit uns haben, bereits geprüft.

Bisher waren keine davon betroffen – sollte es dennoch zu Problemen kommen, bitte unseren Support kontaktieren.

Alle anderen Hosting Kunden, welche ebenfalls Lets Encrypt als SSL für ihre Webseiten nutzen, können zur Sicherheit das oben verlinkte Online-Tool nutzen.

Professionelles SSL Zertifikat:

Wir empfehlen daher für KMU und vor allem Online Shops, stets auf ein Profi-SSL Zertifkat zurück zu greifen.

Diese sind zwar Kostenpflichtig, die Laufzeit beträgt aber jeweils 1-3 Jahre bis zur Erneuerung (anders als bei Lets Encrypt) und zugleich gibt es eine Garantie des Herstellers.

Hier finden Sie unsere SSL Zertifkate von Comodo, RapidSSL u. Thawte als Single od. auch als Wildcard-Zertifikat.

Dabei sind neben Domain Validierung auch Organisation Validierung auf Ihr Unternehmen möglich, welche mit einem Grünen Schloss od. Grüner Adresszeile eine weitere Vertrauensbasis schafft und das Zertifikat direkt auf den Namen Ihres Unternehmens lautet.