Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet

Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet

(Quelle: Pixabay)
21. Januar 2019 - Die TLS-SNI-01-Validierung für HTTPS wird von Let's Encrypt schon bald nicht mehr angeboten. Der Grund ist eine Sicherheitslücke, mit der Zertifikate für fremde Domains ausgestellt werden können.
Aufgrund von Sicherheitsrisiken stellt Let's Encrypt die Validierung über TLS-SNI-01 schon bald ein, wie "Golem" berichtet. Betroffene Benutzer wurden von Let's Encrypt per Email informiert, die Abschaltung solle schon bald erfolgen, wie der Validierungs-Service seinen Benutzern mitteilte. Der 13. Februar wurde als Stichtag festgelegt. Wie es weiter heisst, wären eine beachtliche Anzahl von Nutzern betroffen, da die TLS-SNI-01-Validierung etwa von der Certbot-Software standardmässig genutzt werde.

Vergangenes Jahr fand ein Sicherheitsforscher heraus, dass ein Zertifikat über die betroffene Validierungsmethode auch für eine fremde Domain ausgestellt werden könnte. In der Folge entschied sich Let's Encrypt, die Validierung nicht mehr weiterhin anzubieten. Ab dem 13. Februar können betroffene Benutzer die Validierung nicht mehr einsetzen und sind zur Umstellung gezwungen. Die Alternativen zur Validierung über TLS-SNI-01 seien HTTP, DNS und neu die TLS-Erweiterung ALPN. (win)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER