Let's Encrypt-Zertifikate fehlerhaft (Info)

Bedingt OT:

Auf die Schnelle eine Info von unterwegs.

Folgende Mail kam gerade vom Hoster. Weiterer Link im Zitat.

Zitat

wie wir soeben informiert wurden, ist bei den Authorisierungscodes der Let's Encrypt SSL-Zertifikaten ein Fehler festgestellt worden. Der Fehler wurde durch Let's Encrypt bereits behoben, allerdings ist es nun erforderlich bestehende SSL-Zertifikate zeitnah zu erneuern.

Alle von dem Fehler betroffenen Zertifikate werden morgen, am Mittwoch den 04.03.2020 durch die Zertifizierungsstelle zurückgezogen. Bei nicht erneuerten SSL-Zertifikaten wird hier durch ein Sicherheitshinweis bzgl. eines ungültigen SSL-Zertifikats ausgegeben.

Weitere Informationen Seitens Let's Encrypt unter: https://community.letsencrypt.org/t/2020-02-29-c…king-bug/114591

Zitat von eumel1602

Welcher Hoster ?

Betrifft alle, die Let's Encrypt-Zertifikate verwenden. Siehe Link im Zitat.

https://community.letsencrypt.org/t/2020-02-29-c…king-bug/114591

Für alle, deren Englisch genauso schlecht wie meins ist (russisch wär mir als Ossi lieber ) hier die Meinung von DeepL:

Zitat

Am 29.02.2020 UTC fand Let's Encrypt einen Fehler in unserem CAA-Code. Unsere CA-Software, Boulder, prüft auf CAA-Einträge, während sie gleichzeitig die Kontrolle eines Abonnenten über einen Domänennamen validiert. Die meisten Abonnenten stellen unmittelbar nach der Überprüfung der Domänensteuerung ein Zertifikat aus, aber wir halten eine Überprüfung für 30 Tage für gut. Das bedeutet, dass wir in einigen Fällen die CAA-Einträge ein zweites Mal überprüfen müssen, kurz vor der Ausstellung. Insbesondere müssen wir die CAA-Einträge innerhalb von 8 Stunden vor der Ausstellung überprüfen (gemäß BR §3.2.2.8), so dass jeder Domainname, der vor mehr als 8 Stunden validiert wurde, erneut überprüft werden muss.

Der Fehler: Wenn ein Zertifikatsantrag N Domainnamen enthielt, die von der CAA erneut geprüft werden mussten, wählte Boulder einen Domainnamen aus und prüfte ihn N Mal. In der Praxis bedeutet dies: Wenn ein Abonnent einen Domainnamen zum Zeitpunkt X validiert hat und die CAA-Datensätze für diese Domain zum Zeitpunkt X die Ausstellung von Let's Encrypt erlaubt haben, kann dieser Abonnent ein Zertifikat mit diesem Domainnamen bis X+30 Tage ausstellen, selbst wenn jemand später CAA-Datensätze für diesen Domainnamen installiert hat, die die Ausstellung durch Let's Encrypt verbieten.

Wir bestätigten den Fehler um 2020-02-29 03:08 UTC und stoppten die Ausstellung um 03:10. Wir haben um 05:22 UTC einen Fix installiert und dann die Ausgabe wieder aktiviert.

Unsere vorläufige Untersuchung deutet darauf hin, dass der Fehler am 25.07.2019 eingeführt wurde. Wir werden eine genauere Untersuchung durchführen und eine Obduktion durchführen, wenn diese abgeschlossen ist.

Genau einordnen kann ich das selbst nicht.

Zitat von christine2

gleich eine Obduktion durchführen

Zum Glück greift KI immer noch gelegentlich in die Sch... .

Google Translator schlägt übrigens vor:

Zitat

... Wir werden eine detailliertere Untersuchung durchführen und ein Postmortem bereitstellen, wenn es abgeschlossen ist.

Wusste ichs doch: Wür wörden alle störben!!

(Sorry fürs OT)

Zitat von anka

Nicht gleich in den Panikmodus verfallen

Ooch, erwischt.

Zitat

Our preliminary investigation suggests the bug was introduced on 2019-07-25

Meins ist älter. Lasse es mal drauf ankommen.

Online-Tool sagt: OK.

Und mein Hoster schreibt:

Zitat

[Unsere] Kunden können Ihre SSL-Zertifikate direkt in der Administration Plesk unter "Websites & Domains" über die Schaltfläche "SSL/TLS Zertifikate" erneuern.