Let's Encrypt: CA-Alternative zieht bald zahlreiche Zertifikate zurück

Wer ein TLS-Zertifikat der Zertifizierungsstelle Let's Encrypt verwendet, sollte die Konfiguration seines Webservers überprüfen. Aufgrund eines fehlerhaften Prüfmechanismus werden einige Zertifikate bereits morgen zurückgerufen. Die betroffenen Nutzer wurden per E-Mail informiert. Let's Encrypt stellt bereits seit Jahren kostenlose TLS-Zertifikate, mit denen ein Server die Kommunikation mit verbundenen Clients verschlüsseln kann, zur Verfügung. Dabei erfolgt die Prüfung, ob eine Domain wirklich dem Antragsteller gehört, komplett automatisch. In einem verwendeten Prüfmechanismus, der sogenannten TLS-ALPN-01-Challenge, hatte es nun einen Fehler gegeben. Obwohl der Prüfmechanismus nicht standardmäßig voreingestellt ist und der Bug bereits behoben wurde, haben zahlreiche Administratoren ihre Domains inzwischen mit dem Verfahren verifiziert. Deshalb ruft die Organisation die Zertifikate nun zurück.


Laut Bleeping Computer möchte Let's Encrypt morgen gegen 17 Uhr deutscher Ortszeit damit beginnen, die betroffenen Zertifikate zu widerrufen. Betroffene Seiten-Betreiber müssen ihre Domain erneut verifizieren und die Zertifikate schnellstmöglich auswechseln. Die falsch ausgestellten Zertifikate sind maximal 90 Tage alt. Der Fehler wurde am 26. Januar um 1:48 Uhr behoben, sodass später geprüfte Domains nicht betroffen sind. Die Prüfmethode TLS-ALPN-01 kann außerdem wieder ohne Probleme genutzt werden.

Administratoren via E-Mail informiert

Administratoren, die eine gültige Mail-Adresse in ihrem ACME-Konto angegeben haben, sollten eine Benachrichtigung bekommen haben und über das Problem unterrichtet worden sein.

Let's Encrypt schätzt, dass weniger als ein Prozent aller aktiven Zertifikate zurückgezogen werden müssen. Dennoch könnte die Widerrufs-Aktion dafür sorgen, dass einige mit den Zertifikaten ausgestattete Server ab morgen nicht mehr ohne Fehlermeldung erreichbar sind.

Siehe auch: