[English]Kurze Information für Administratoren, die Zertifikate von der gemeinnützigen Zertifizierungsstelle Let's Encrypt verwenden. Let's Encrypt wird zum 28.1.2022 (also kommenden Freitag) bestimmte Zertifikate zurückziehen. Hintergrund für das Revoke der max. 90 Tage alten Zertifikate ist ein Fehler, der kürzlich bemerkt wurde. Keine Ahnung, wie viele Webseiten und Dienste diese kostenlosen Let's Encrypt-Zertifikate verwenden. Wer Let's Encrypt-Zertifikate einsetzt, sollten zumindest prüfen, ob man betroffen ist.
Anzeige
In einer Mitteilung 2022.01.25 Issue with TLS-ALPN-01 Validation Method erklärt ein Mitarbeiter von Let's Encrypt, dass man am 25. Januar 2022 von Dritter Seite darauf hingewiesen wurde, dass diese Stelle bei der Untersuchung der Boulder-Codebasis zwei Fälle von Nichteinhaltung der Spezifikation in der Let's Encrypt-Implementierung der "TLS Using ALPN"-Validierungsmethode (BRs 3.2.2.4.20, RFC 8737) festgestellt habe.
Infolgedessen hat Let's Encrypt zwei Änderungen an der Funktionsweise seiner TLS-ALPN-01-Validierung vorgenommen. Dazu heißt es:
- First, we now guarantee that our client which reaches out to conduct the "acme-tls/1" handshake will negotiate TLS version 1.2 or higher. If your ACME client or integration only supports a maximum TLS version of 1.1 when conducting the TLS-ALPN-01 challenge, it will break. We are not aware of any ACME clients with this limitation.
- Second, we no longer support the legacy 1.3.6.1.5.5.7.1.30.1 OID which was used to identify the acmeIdentifier extension in earlier drafts of RFC 8737. We now only accept the standardized OID 1.3.6.1.5.5.7.1.31. If your client uses the wrong OID when constructing the certificate used for the TLS-ALPN-01 handshake, it will break. Please either update your client, or switch to using a different validation method.
Im Zuge der Einführung dieser Änderungen war auch der Challenge-Typ TLS-ALPN-01 vorübergehend deaktiviert. Alle aktiven Zertifikate, die vor 00:48 UTC am 26. Januar 2022, da wurde der Fix bereitgestellt, ausgestellt und mit der TLS-ALPN-01-Herausforderung validiert wurden, gelten als falsch ausgestellt. In Übereinstimmung mit der Let's Encrypt CP sind nun 5 Tage Zeit, um diese Zertifikate zu widerrufen.
Let's Encrypt beginnt daher am 28. Januar 2022 um 16:00 UTC damit, die betroffenen Zertifikate zu widerrufen. Es wird geschätzt, dass <1% der aktiven Zertifikate betroffen sind. Abonnenten, die von der Sperrung betroffen sind, werden per E-Mail benachrichtigt, sofern ihr ACME-Konto eine gültige E-Mail-Adresse enthält.
Anzeige
Die Kollegen von heise haben diesen deutschsprachigen Artikel zum Thema veröffentlicht – einen englischsprachigen Beitrag gibt es bei Bleeping Computer, wenn sich jemand noch ausgiebiger informieren möchte.
Ähnliche Artikel:
Let's Encrypt Root von wichtigen Akteuren anerkannt
Let's Encrypt-Zertifikate-Ärger mit Windows, Sophos UTM, macOS/iOS (30.9.2021)
0. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?
Autsch: Let's encrypt zieht 3 Millionen Zertifikate zurück
Anzeige