bei Let’s Encrypt ist vor einigen Tagen ein Fehler bei der Ausstellung von Zertifikaten (CAA Rechecking Bug) bekannt geworden.
Vereinfacht gesagt wurde die Prüfung von CAA-Records, mit denen festgelegt wird, welche Zertifizierungsstelle für eine Domain SSL-Zertifikate ausstellen darf, in bestimmten Fällen nicht korrekt durchgeführt.
Gemäß der Bedingungen des Browser-Forums müssen fälschlicherweise ausgestellte Zertifikate daher innerhalb eines sehr kurzen Zeitraums zurückgezogen (revoked) werden.
Dieser Zeitpunkt wurde auf heute, 04. März 2020 20:00 Uhr, festgelegt: ab dann sind diese fälschlicherweise ausgestellten Zertifikate nicht mehr gültig.
Let’s Encrypt hat deshalb bereits seit gestern die betroffenen Account-Inhaber kontaktiert (soweit E-Mail-Adresse bekannt) und auf den Sachverhalt aufmerksam gemacht.
LiveConfig, die von uns eingesetzte Verwaltungssoftware, hat bereits gestern Abend ein Update veröffentlicht: es wurde über Nacht im Hintergrund geprüft, welche Zertifikate betroffen waren. Diese Zertifikate wurden im Anschluss neu ausgestellt, so dass diese Webseiten nicht von der sog. Revocation betroffen sein werden.
Aus diesem Grund werden, soweit keine weiteren Fehler auftreten, unsere Kunden von dem Vorfall nichts mitbekommen. Es sind daher durch unseren Kunden keine weiteren Schritte zu unternehmen.
Kunden, die beim Aufruf ihrer Webseiten doch auf fehlerhafte SSL-Zertifikate hingewiesen werden, werden gebeten, ein neues SSL-Zertifikat in LiveConfig anzufordern, oder unseren Support zu kontaktieren.
Weitere Informationen zum Vorfall finden sich unter anderem direkt bei Let’s Encrypt, oder auf den einschlägigen Seiten:
- https://letsencrypt.org/caaproblem/
- https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864
- https://www.heise.de/security/meldung/Achtung-Let-s-Encrypt-macht-heute-nacht-3-Millionen-Zertifikate-ungueltig-4676017.html
- https://www.golem.de/news/tls-let-s-encrypt-muss-drei-millionen-zertifikate-zurueckziehen-2003-146999.html