{"id":262006,"date":"2022-01-27T02:04:04","date_gmt":"2022-01-27T01:04:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262006"},"modified":"2022-01-27T02:25:44","modified_gmt":"2022-01-27T01:25:44","slug":"lets-encrypt-zieht-am-28-2-2022-bestimmte-zertifikate-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/27\/lets-encrypt-zieht-am-28-2-2022-bestimmte-zertifikate-zurck\/","title":{"rendered":"Let's Encrypt zieht am 28.1.2022 bestimmte Zertifikate zur&uuml;ck"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Stop - Pixabay\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" alt=\"Stop - Pixabay\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/01\/27\/lets-encrypt-zieht-am-28-2-2022-bestimmte-zertifikate-zurck\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Kurze Information f\u00fcr Administratoren, die Zertifikate von der gemeinn\u00fctzigen Zertifizierungsstelle Let's Encrypt verwenden. Let's Encrypt wird zum 28.1.2022 (also kommenden Freitag) bestimmte Zertifikate zur\u00fcckziehen. Hintergrund f\u00fcr das Revoke der max. 90 Tage alten Zertifikate ist ein Fehler, der k\u00fcrzlich bemerkt wurde. Keine Ahnung, wie viele Webseiten und Dienste diese kostenlosen Let's Encrypt-Zertifikate verwenden. Wer Let's Encrypt-Zertifikate einsetzt, sollten zumindest pr\u00fcfen, ob man betroffen ist.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/347ff672223043eda3b8e35edeaf8a4a\" alt=\"\" width=\"1\" height=\"1\" \/>In einer Mitteilung <a href=\"https:\/\/community.letsencrypt.org\/t\/2022-01-25-issue-with-tls-alpn-01-validation-method\/170450\" target=\"_blank\" rel=\"noopener\">2022.01.25 Issue with TLS-ALPN-01 Validation Method<\/a> erkl\u00e4rt ein Mitarbeiter von Let's Encrypt, dass man am 25. Januar 2022\u00a0 von Dritter Seite darauf hingewiesen wurde, dass diese Stelle bei der Untersuchung der <a href=\"https:\/\/github.com\/letsencrypt\/boulder\" target=\"_blank\" rel=\"noopener\">Boulder-Codebasis<\/a> zwei F\u00e4lle von Nichteinhaltung der Spezifikation in der Let's Encrypt-Implementierung der \"TLS Using ALPN\"-Validierungsmethode (BRs 3.2.2.4.20, RFC 8737) festgestellt habe.<\/p>\n<p>Infolgedessen hat Let's Encrypt <a href=\"https:\/\/community.letsencrypt.org\/t\/changes-to-tls-alpn-01-challenge-validation\/170427\" target=\"_blank\" rel=\"noopener\">zwei \u00c4nderungen<\/a> an der Funktionsweise seiner TLS-ALPN-01-Validierung vorgenommen. Dazu hei\u00dft es:<\/p>\n<ul>\n<li>First, we now guarantee that our client which reaches out to conduct the \"acme-tls\/1\" handshake will negotiate TLS version 1.2 or higher. If your ACME client or integration only supports a maximum TLS version of 1.1 when conducting the TLS-ALPN-01 challenge, it will break. We are not aware of any ACME clients with this limitation.<\/li>\n<li>Second, we no longer support the legacy 1.3.6.1.5.5.7.1.30.1 OID which was used to identify the acmeIdentifier extension in earlier drafts of RFC 8737. We now only accept the standardized OID 1.3.6.1.5.5.7.1.31. If your client uses the wrong OID when constructing the certificate used for the TLS-ALPN-01 handshake, it will break. Please either update your client, or switch to using a different validation method.<\/li>\n<\/ul>\n<p>Im Zuge der Einf\u00fchrung dieser \u00c4nderungen war auch der Challenge-Typ TLS-ALPN-01 vor\u00fcbergehend deaktiviert. Alle aktiven Zertifikate, die vor 00:48 UTC am 26. Januar 2022, da wurde der Fix bereitgestellt, ausgestellt und mit der TLS-ALPN-01-Herausforderung validiert wurden, gelten als falsch ausgestellt. In \u00dcbereinstimmung mit der Let's Encrypt CP sind nun\u00a0 5 Tage Zeit, um diese Zertifikate zu widerrufen.<\/p>\n<p>Let's Encrypt beginnt daher am 28. Januar 2022 um 16:00 UTC damit, die betroffenen Zertifikate zu widerrufen. Es wird gesch\u00e4tzt, dass &lt;1% der aktiven Zertifikate betroffen sind. Abonnenten, die von der Sperrung betroffen sind, werden per E-Mail benachrichtigt, sofern ihr ACME-Konto eine g\u00fcltige E-Mail-Adresse enth\u00e4lt.<\/p>\n<p>Die Kollegen von heise haben <a href=\"https:\/\/www.heise.de\/news\/Let-s-Encrypt-zieht-bestimmte-Zertifikate-nach-Pruefungsfehler-vorzeitig-zurueck-6338991.html\" target=\"_blank\" rel=\"noopener\">diesen deutschsprachigen Artikel<\/a> zum Thema ver\u00f6ffentlicht &#8211; einen englischsprachigen Beitrag gibt es <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/lets-encrypt-is-revoking-lots-of-ssl-certificates-in-two-days\/\" target=\"_blank\" rel=\"noopener\">bei Bleeping Computer<\/a>, wenn sich jemand noch ausgiebiger informieren m\u00f6chte.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/07\/lets-encrypt-root-zertifikat-von-wichtigen-akteuren-anerkannt\/\">Let's Encrypt Root von wichtigen Akteuren anerkannt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/30\/lets-encrypt-zertifikate-rger-mit-windows-sophos-utm-macos-ios-30-9-2021\/\">Let's Encrypt-Zertifikate-\u00c4rger mit Windows, Sophos UTM, macOS\/iOS (30.9.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/09\/30\/30-sept-2021-knallt-es-bei-lets-encrypt-zertifikaten\/\">0. Sept. 2021: Knallt es bei Let's-Encrypt-Zertifikaten?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/03\/03\/autsch-lets-encrypt-zieht-3-millionen-zertifikate-zurck\/\">Autsch: Let's encrypt zieht 3 Millionen Zertifikate zur\u00fcck<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Information f\u00fcr Administratoren, die Zertifikate von der gemeinn\u00fctzigen Zertifizierungsstelle Let's Encrypt verwenden. Let's Encrypt wird zum 28.1.2022 (also kommenden Freitag) bestimmte Zertifikate zur\u00fcckziehen. Hintergrund f\u00fcr das Revoke der max. 90 Tage alten Zertifikate ist ein Fehler, der k\u00fcrzlich bemerkt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/27\/lets-encrypt-zieht-am-28-2-2022-bestimmte-zertifikate-zurck\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,143],"tags":[4328,4351],"class_list":["post-262006","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-tipps","tag-sicherheit","tag-tipp"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262006","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=262006"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/262006\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=262006"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=262006"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=262006"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}