Let´s Encrypt entscheidet sich gegen TLS-SN1-001

Alte Validierungsmethode wird abgeschaltet

Schon bald soll es soweit sein und die alte Validierungsmethode soll auf jeden Fall bei Let´s Encrypt der Vergangenheit angehören. Dies bedeutet leider ein Problem, auf jeden Fall für manche Nutzer. Gerade die Certbot Software beinhaltet die TLS-SN1-001 Methode.

 

Die alten Versionen der Certbot-Software sind betroffen. Diese sollen schon bald ohne TLS-SNI-01 laufen. Abgeschaltet wird das Ganze, weil es zu schwerwiegenden Sicherheitsproblemen kam. Die Warnungen hinsichtlich der Änderungen gingen schon raus. Denn immerhin gibt es einige User die eine Let´s Encrypt Domain besitzen. Die Abschaltung ist beschlossene Sache, da es zu Sicherheitslücken bei Hostern kam. Anscheinend lässt sich das Problem nicht anders lösen.

Man könnte sagen, verantwortlich ist Frans Rosén, ein Sicherheitsforscher. Dieser erkannte, dass man ein Zertifikat im Namen anderer User ausliefern kann. Sich ein Nutzer also für eine andere Domain ein Zertifikat ausstellen kann. So ist dies schon geschehen und dies gilt es natürlich zu verhindern. Vor allem, da so ein großer Anbieter wie Amazon mit Amazon Cloudfront betroffen war. Auch wenn noch Schlimmeres verhindert werden konnte, ist die Sicherheitslücke eindeutig da. Und von daher soll diese jetzt komplett abgeschafft werden. Es dauert gar nicht lange, schon im April 2019 ist mit TLS-SN1-001 Schluss. Die Nutzer sollten sich beeilen und sich für eine andere Validierungsmethode entscheiden. Alternativen für die Domainüberprüfung wären DNS, ALPN und DNS.

Die Abschaltung bringt mit sich, dass manche Setups für die Erneuerung von Zertifikaten nicht mehr funktionieren. Alle Versionen der ACME Software älter als 0.21 nutzen diese Methode und fallen in Zukunft aus. Wer die Warnungen nicht erhalten oder gelesen hat, kann nach der Abschaffung leider auf der Domainseite eine Warnung vorfinden. Eine Warnung, dass das Zertifikat abgelaufen ist. Dies schockiert zwar erst einmal, aber man kann dies ja recht schnell wieder ändern!

 

Autor: Kerstin Münchehofe, Redaktion Domainalliance

 

Hinterlasse eine Antwort

Weitere Beiträge zum Thema: