Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet
Quelle: Pixabay

Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet

Die TLS-SNI-01-Validierung für HTTPS wird von Let's Encrypt schon bald nicht mehr angeboten. Der Grund ist eine Sicherheitslücke, mit der Zertifikate für fremde Domains ausgestellt werden können.
21. Januar 2019

     

Aufgrund von Sicherheitsrisiken stellt Let's Encrypt die Validierung über TLS-SNI-01 schon bald ein, wie "Golem" berichtet. Betroffene Benutzer wurden von Let's Encrypt per Email informiert, die Abschaltung solle schon bald erfolgen, wie der Validierungs-Service seinen Benutzern mitteilte. Der 13. Februar wurde als Stichtag festgelegt. Wie es weiter heisst, wären eine beachtliche Anzahl von Nutzern betroffen, da die TLS-SNI-01-Validierung etwa von der Certbot-Software standardmässig genutzt werde.


Vergangenes Jahr fand ein Sicherheitsforscher heraus, dass ein Zertifikat über die betroffene Validierungsmethode auch für eine fremde Domain ausgestellt werden könnte. In der Folge entschied sich Let's Encrypt, die Validierung nicht mehr weiterhin anzubieten. Ab dem 13. Februar können betroffene Benutzer die Validierung nicht mehr einsetzen und sind zur Umstellung gezwungen. Die Alternativen zur Validierung über TLS-SNI-01 seien HTTP, DNS und neu die TLS-Erweiterung ALPN. (win)


Weitere Artikel zum Thema

Shutdown in den USA macht Regierungs-Webseiten unsicher

14. Januar 2019 - Durch den Shutdown in den USA wurden die Webseiten von vielen Regierungsorganisationen unsicher und mussten vom Netz genommen werden, weil deren Zertifikate nicht erneuert wurden. Betrofffen sind unter anderem die NASA und das Justizdepartement.

Forscher demonstrieren Ausstellung von falschen Webzertifikaten

13. September 2018 - Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat einen Weg gefunden, betrügerische Website-Zertifikate auszustellen, die eigentlich die Vertrauenswürdigkeit von Domains sicherstellen sollen.

Firefox: TLS-Zertifikate von Symantec nicht vertrauenswürdig

27. August 2018 - Mozillas Browser Firefox stuft TLS-Zertifikate von Symantec in der aktuellen Nightly-Version als nicht vertrauenswürdig ein. Der Browser warnt die Nutzer, wenn diese Webseiten mit entsprechenden Zertifikaten aufrufen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER