{"id":229039,"date":"2020-03-03T19:01:13","date_gmt":"2020-03-03T18:01:13","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229039"},"modified":"2024-07-12T11:55:40","modified_gmt":"2024-07-12T09:55:40","slug":"autsch-lets-encrypt-zieht-3-millionen-zertifikate-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/03\/autsch-lets-encrypt-zieht-3-millionen-zertifikate-zurck\/","title":{"rendered":"Autsch: Let&rsquo;s encrypt zieht 3 Millionen Zertifikate zur&uuml;ck"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/03\/03\/ouch-lets-encrypt-withdraws-3-million-certificates\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleine Meldung zum Feierabend: Let's encrypt ist ein Fehler bei der Zertifikatsausstellung passiert und die m\u00fcssen jetzt 3 Millionen ausgestellter TLS-Zertifikate zur\u00fcckziehen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/102947d57ba74d289ece034fc2bf5e9a\" alt=\"\" width=\"1\" height=\"1\" \/>Zwischen Erfolg und Misserfolg ist es oft ein schmaler Grad \u2013 gerade noch ging es steil bergauf, dann ein Schritt zu weit rechts und Du st\u00fcrzt gnadenlos ab.<\/p>\n<h2>Griff nach den Sternen: Milliarden Zertifikate<\/h2>\n<p>Ich hatte es vor einigen Tagen schon mitbekommen, Let's encrypt hat 1 Milliarde TSL-Zertifikate ausgestellt. Ich hatte es bewusst nicht im Blog drin \u2013 ist aber heute <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/07\/lets-encrypt-root-zertifikat-von-wichtigen-akteuren-anerkannt\/#comment-86184\">hier im Kommentar<\/a> von Ralf kurz thematisiert worden. Der Beitrag der Let's Encrypt-Macher ist <a href=\"https:\/\/letsencrypt.org\/2020\/02\/27\/one-billion-certs.html\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> abrufbar.<\/p>\n<p>Grandioser Erfolg, da kann man nur gratulieren. Ich bin hier im Blog auch mit den kostenlosen Let's Encrypt TLS-Zertifikaten gestartet, habe aber seit letztem Jahr ein kostenpflichtiges Zertifikat, was 12 Monate vorh\u00e4lt.<\/p>\n<h2>Drei vor, zwei zur\u00fcck: 3 Millionen Zertifikate ung\u00fcltig<\/h2>\n<p>Das obige ist der Griff nach den Sternen. Nun aber zur\u00fcck nach den Niederungen der Praxis. Gerade lese ich bei Golem, dass Let's Encrypt 3 Millionen TLS-Zertifikate wegen eines Fehlers zur\u00fcckziehen muss.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"de\">TLS: Let's Encrypt muss drei Millionen Zertifikate zur\u00fcckziehen <a href=\"https:\/\/twitter.com\/hashtag\/letsencrypt?src=hash&amp;ref_src=twsrc%5Etfw\">#letsencrypt<\/a> <a href=\"https:\/\/t.co\/tFNwhGKp5d\">https:\/\/t.co\/tFNwhGKp5d<\/a><\/p>\n<p>\u2014 Golem.de (@golem) <a href=\"https:\/\/twitter.com\/golem\/status\/1234835206105903105?ref_src=twsrc%5Etfw\">March 3, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Fehler f\u00fchrt dazu, das die Pr\u00fcfung der CAA-DNS-Records nicht korrekt durchgef\u00fchrt werden kann. Die Details sind in der <a href=\"https:\/\/community.letsencrypt.org\/t\/2020-02-29-caa-rechecking-bug\/114591\" target=\"_blank\" rel=\"noopener noreferrer\">Let's Encrypt-Community<\/a> offen gelegt:<\/p>\n<blockquote><p>On 2020-02-29 UTC, Let's Encrypt found a bug in our CAA code. Our CA software, Boulder, checks for CAA records at the same time it validates a subscriber's control of a domain name. Most subscribers issue a certificate immediately after domain control validation, but we consider a validation good for 30 days. That means in some cases we need to check CAA records a second time, just before issuance. Specifically, we have to check CAA within 8 hours prior to issuance (per BRs \u00a73.2.2.8), so any domain name that was validated more than 8 hours ago requires rechecking.<\/p>\n<p>The bug: when a certificate request contained N domain names that needed CAA rechecking, Boulder would pick one domain name and check it N times. What this means in practice is that if a subscriber validated a domain name at time X, and the CAA records for that domain at time X allowed Let's Encrypt issuance, that subscriber would be able to issue a certificate containing that domain name until X+30 days, even if someone later installed CAA records on that domain name that prohibit issuance by Let's Encrypt.<\/p>\n<p>We confirmed the bug at 2020-02-29 03:08 UTC, and halted issuance at 03:10. We deployed a fix at 05:22 UTC and then re-enabled issuance.<\/p>\n<p>Our preliminary investigation suggests the bug was introduced on 2019-07-25. We will conduct a more detailed investigation and provide a postmortem when it is complete.<\/p><\/blockquote>\n<p>In knapp: Die Pr\u00fcfung der CAA-DNS-Records wird bei der Zertifikatsausstellung nicht sauber gepr\u00fcft. Das erm\u00f6glicht ein Zertifikat f\u00fcr eine Domain mit einer G\u00fcltigkeit bis zu x+30 Tage auszustellen, selbst wenn jemand sp\u00e4ter CAA-Eintr\u00e4ge f\u00fcr diesen Domainnamen installiert, die die Ausstellung durch Let's Encrypt verbieten. Der Fehler existiert seit dem 25. Juli 2019. Eine detailliertere Erkl\u00e4rung hat Hanno B\u00f6ck <a href=\"https:\/\/www.golem.de\/news\/tls-let-s-encrypt-muss-drei-millionen-zertifikate-zurueckziehen-2003-146999.html\" target=\"_blank\" rel=\"noopener noreferrer\">auf Golem<\/a> ver\u00f6ffentlicht.<\/p>\n<p>Betroffene Nutzer wurden per Mail informiert und m\u00fcssen sich jetzt umgehend ein neues Zertifikat ausstellen lassen. Auf der Webseite hier kann die URL einer zu pr\u00fcfenden Web-Site eingegeben werden. Dann wird gepr\u00fcft, ob diese von den zur\u00fcckgezogenen Zertifikaten betroffen sind.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">I guess some people will find this helpful <a href=\"https:\/\/t.co\/GEzdrRUX4z\">https:\/\/t.co\/GEzdrRUX4z<\/a> quick and dirty script to check if you need to replace <a href=\"https:\/\/twitter.com\/letsencrypt?ref_src=twsrc%5Etfw\">@letsencrypt<\/a> cert on a host due to CAA issue<\/p>\n<p>\u2014 hanno (@hanno) <a href=\"https:\/\/twitter.com\/hanno\/status\/1234847100623519744?ref_src=twsrc%5Etfw\">March 3, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Hanno B\u00f6ck hat auf GitHub ein kleines Script ver\u00f6ffentlicht, welches pr\u00fcft, ob man sein Zertifikat erneuern muss.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleine Meldung zum Feierabend: Let's encrypt ist ein Fehler bei der Zertifikatsausstellung passiert und die m\u00fcssen jetzt 3 Millionen ausgestellter TLS-Zertifikate zur\u00fcckziehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-229039","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229039","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229039"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229039\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229039"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229039"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229039"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}