Viele Webadministratoren wurden letzte Woche von einer Informationsmail des Anbieters kostenloser SSL-Zertifikate Let's Encrypt aufgeschreckt und zum Handeln gezwungen. Let's Encrypt kündigte an, in der Nacht von Mittwoch auf Donnerstag mehr als drei Millionen Zertifikate für ungültig zu erklären. Grund hierfür war ein einige Tage zuvor entdecktes Sicherheitsproblem in der Software des Zertifikatsanbieters. Webadministratoren und Internet Service Provider, die nicht riskieren wollten, dass Websites oder Onlineshops die Besucher am folgenden Donnerstag mit Fehlermeldungen begrüßten, mussten binnen 24 Stunden reagieren. Die betroffenen Zertifikate mussten rechtzeitig, bevor sie ungültig wurden, ausgetauscht beziehungsweise erneuert werden. Wer das nicht machte, riskierte verärgerte oder verunsicherte User und drastische Einbrüche in den Besucherzahlen. Zahlreiche Let's-Encrypt-Zertifikate der TecSpace-Kunden waren von der Ankündigung ebenfalls betroffen. TecSpace reagierte schnell und vorbildlich und erneuerte die SSL-Zertifikate rechtzeitig. TecSpace-Kunden mussten nicht selbst aktiv werden. Es waren aufgrund ungültiger Zertifikate keine Ausfälle bei TecSpace zu verzeichnen. Im Nachhinein teilte Let's Encrypt mit, dass doch nicht alle drei Millionen Zertifikate ungültig gemacht wurden. Es waren letztendlich lediglich 1,7 Millionen Zertifikate. 1,3 Millionen Zertifikate behielten bis auf Weiteres ihre Gültigkeit. Im Folgenden erfahren Sie die Hintergründe dieses Vorgehens und warum die Erneuerungen der SSL-Zertifikate so kurzfristig notwendig war.
Was ist der Hintergrund für die Aktion von Let's Encrypt?
Die Ursache für die letzte Woche von Let's Encrypt durchgeführte Aktion war ein neu entdeckter Fehler in der Software der Zertifizierungsstelle. Von dem Problem war der sogenannte CAA-Code (Certification Authority Authorization Code) der Open-Source-Software Boulder betroffen. Auswirkung dieses Fehlers war es, dass sich unter gewissen Umständen Zertifikate für fremde Domains ausstellen ließen. Damit hätten Cyber-Kriminelle die Möglichkeit erhalten, Nutzer von Webseiten mit falschen Zertifikaten zu täuschen und die Zertifikate für kriminelle Handlungen zu missbrauchen. Der eigentliche Zweck eines SSL-Zertifikats, die korrekte Identität einer Domain und Website nachzuweisen, wäre damit hinfällig gewesen.
Aufgrund des Bugs in Boulder prüfte Let's Encrypt nicht korrekt, ob der Empfänger eines Zertifikats tatsächlich die Kontrolle über die jeweilige Domain hatte, für die das Zertifikat ausgestellt werden sollte. Diese Prüfung erfolgt üblicherweise mit Hilfe des CAA-Records eines DNS-Eintrags. Zertifizierungsstellen wie Let's Encrypt sind aufgrund der Vorgaben des CA/Browser Forums dazu verpflichtet, diese DNS-Einträge innerhalb von acht Stunden vor einer Ausstellung eines SSL-Zertifikats zu prüfen. Da die Validierung aber eine Gültigkeit von 30 Tagen hatte, entstand ein Zeitfenster, indem Zertifikate trotz anders lautender CAA-Records hätten ausgestellt werden können.
Warum erfolgte die Ankündigung von Let's Encrypt so kurzfristig?
Im Internet hagelte es an verschiedenen Stellen massive Kritik für die sehr kurzfristige Ankündigung und das Vorgehen von Let's Encrypt. Bei Betrachtung der Details, stellt man schnell fest, dass der Zertifizierungsstelle Let's Encrypt letztendlich keine andere Möglichkeit blieb. Einige Experten honorierten daher das schnelle Reagieren von Let's Encrypt und sprachen von einem vorbildlichen Handeln. Der Softwarefehler in Boulder wurde am vorigen Sonntag entdeckt und umgehend behoben. Entstanden ist der Fehler durch eine Softwareänderung im Juli 2019. Es existierte ein relativ großes Zeitfenster, in dem Zertifikate für falsche Domains hätten ausgestellt werden können. Alle in diesem Zeitraum erstellten Zertifikate mussten daher umgehend ungültig gemacht werden. Laut Let's Encrypt waren circa 2,6 Prozent der 116 Millionen Zertifikate potenziell von dem Bug betroffen. Um sich an die strengen Anforderungen des CA/Browser Forums zu halten, blieb Let's Encrypt keine andere Möglichkeit, als die potenziell betroffenen SSL-Zertifikate zeitnah ungültig zu machen. Daraus ergaben sich die kurzfristige Information und der kurze Handlungszeitraum für Web-Administratoren und Internet Service Provider. Wären die betroffenen Zertifikate gültig geblieben, hätte Let's Encrypt riskiert, die Vertrauenswürdigkeit zu verlieren.
Was war zu tun, um wieder gültige Zertifikate zu bekommen?
Let's Encrypt stellte den Webseitenbetreibern ein Tool zur Verfügung, mit dem sich prüfen lies, ob eigene Zertifikate betroffen waren. Zudem bestand die Möglichkeit, eine Liste der Seriennummern der betroffenen SSL-Zertifikate downzuloaden. Über diese Liste konnten zum Beispiel Internet Service Provider größere Mengen Zertifikate automatisch prüfen. Wer eigene Server verwaltet und betroffene SSL-Zertifkate von Let's Encrypt einsetzte, war selbst zum Handeln gezwungen. Je nach eingesetzter Software zur Verwaltung der Zertifikate auf dem Server waren bestimmte Befehle zur Erneuerung der Zertifikate abzusetzen.
Glück und weniger Aufwand hatten Web-Administratoren, deren Internetauftritt oder Onlineshop von einem Internet Service Provider betrieben wird. Diese Administratoren mussten nicht selbst aktiv werden, wenn der Internet Service Provider sich um die Erneuerung der Let's-Encrypt-Zertifikate kümmerte.
Auch TecSpace von der Let's Encrypt Ankündigung betroffen – alle Zertifikate konnten rechtzeitig erneuert werden
Kunden von TecSpace mit gebuchtem Webspace haben die Möglichkeit, die sehr beliebten kostenlosen Let's-Encrypt-Zertifikate für Ihre Websites zu nutzen. Viele TecSpace-Kunden greifen gerne auf diese Zertifikate zurück, um eine sichere, verschlüsselte Kommunikation zwischen Webserver und Webbrowser des Kunden per HTTPS zu realisieren. Aufgrund der zahlreichen Let's-Encrypt-Zertifikate war TecSpace von der Ankündigung von Let's Encrypt betroffen. Mehrere hundert Zertifikate sollten laut Information der Zertifizierungsstelle letzte Woche ihre Gültigkeit verlieren. Die Hosting-Experten von TecSpace handelten vorbildlich und schnell. Der Provider hatte alles im Griff und erneuerte alle betroffenen Zertifikate rechtzeitig. Kunden hatten keine Ausfälle aufgrund ungültiger Zertifikate zu verzeichnen.
Warum doch nicht alle drei Millionen angekündigten Zertifikate ungültig wurden
Let's Encrypt informierte in einer aktuellen Mitteilung nach der Aktion letzten Donnerstag, dass doch nicht alle angekündigten gut drei Millionen Zertifikate ungültig gemacht wurden. Letztendlich waren es etwa 1,7 Millionen Zertifikate. Circa 1,3 Millionen Zertifikate behielten bis auf weiteres ihre Gültigkeit. Grund hierfür ist, dass die fehlerfreie Erreichbarkeit betroffener Internetseiten für wichtiger erachtet wird als die Einhaltung der eigenen Deadline. Zertifikate, die von den zuständigen Web-Administratoren noch nicht ausgetauscht wurden und nach wie vor in Verwendung sind, bleiben noch gültig. Es wurden die Zertifikate ungültig, die bereits ausgetauscht wurden. Ebenfalls von Let's Encrypt zurückgezogen wurden 445 Zertifikate mit CAA-Records, die die Ausstellung eines Zertifikats für die betreffende Domain verbieten. In den nächsten Tagen und Wochen sollen weitere Zertifikate zurückgezogen werden, wenn dies keine unnötigen Störungen für Internetuser verursacht. Da die Zertifikate von Let's Encrypt grundsätzlich nur eine Gültigkeit von 90 Tagen besitzen, sollte das Problem mit dem Boulder-Bug spätestens nach dieser Zeit automatisch beseitigt sein.