3 Millionen Let’s-Encrypt-Zertifikate fehlerhaft

Ende Februar hat die Zertifizierungsstelle (CA) Let’s Encrypt die Ausstellung von über einer Milliarde Zertifikaten bekannt gegeben. Wenige Tage später wurde ein Fehler bei der Zertifikatsausstellung publik, der rund drei Millionen Zertifikate betrifft. Anfänglich sah es so aus, als ob Let’s Encrypt alle drei Millionen Zertifikate zurückzieht. Nach wenigen Tagen ist aber klar, dass 1,7 Millionen Zertifikate zurückgezogen wurden und 1,3 Millionen gültig bleiben.

Der Fehler betrifft die Prüfung von CAA-DNS-Records, welche nicht korrekt durchgeführt wurde. Mittels eines CAA-Records ist es Domaininhabern möglich festzulegen, welche Zertifizierungsstellen berechtigt sind, Zertifikate auszustellen. Bei der Domainvalidierung prüft Let’s Encrypt neben dem Domaininhaber auch den CAA-Record. Die Domainvalidierung ist bei Let’s Encrypt für 30 Tage gültig. Hier genau liegt das Problem: Laut den Regeln des CA/Browser-Forums darf die Prüfung des CAA-Records nur maximal acht Stunden vor der Zertifikatsausstellung stattfinden. An diese Regeln müssen sich alle Zertifizierungsstellen halten.

Nach der Entdeckung des Fehlers hat Let’s Encrypt die Zertifikatsausstellung für einige Stunden eingestellt, bis der Fehler behoben wurde. Anschließend wurden viele betroffene Nutzer per Mail informiert. Da die Angabe einer E-Mail-Adresse nur optional ist, konnten jedoch nicht alle Nutzer informiert werden. Wer betroffen ist, sollte sich schnellstmöglich ein neues Zertifikat ausstellen lassen. Auf dieser Webseite könnt ihr prüfen, ob ihr davon betroffen seid oder nicht.

Weitere Regeln des CA/Browser-Forums besagen, dass alle fehlerhaften Zertifikate innerhalb von fünf Tagen zurückgezogen werden müssen. Let’s Encrypt hat sich allerdings bewusst dagegen entschieden und nur 1,7 Millionen alte Zertifikate zurückgezogen, die bereits durch neuere getauscht wurden. Bei 445 Zertifikaten wurde in der Zwischenzeit ein CAA-Record gesetzt, welche eine Zertifikatsausstellung durch Let’s Encrypt untersagt. Diese Zertifikate wurden ebenfalls alle zurückgenommen. Die noch im Einsatz befindlichen 1,3 Millionen Zertifikate bleiben weiterhin gültig. Das Zurückziehen aller Zertifikate hätte laut einem Let’s-Encrypt-Mitarbeiter zu viel Schaden geführt, weshalb man sich dagegen entschieden hat. Darüber hinaus ist das Risiko relativ gering, da bei den fehlerhaften Zertifikaten lediglich der Check des CAA-Records nicht zum richtigen Zeitpunkt durchgeführt wurde.