zurück zum Artikel

Einige SSL-/TLS-Zertifikate von GoDaddy wegen Software-Bug für ungültig erklärt Update

Einige SSL-/TLS-Zertifikate von GoDaddy wegen Software-Bug ungültig

(Bild: Screenshot)

6100 Kunden sollen von widerrufenen GoDaddy-Zertifikaten betroffen sein. Den Prozess für ein neues, kostenloses Zertifikat müssen Betroffene von Hand anstoßen.

Die Zertifizierungsstelle (CA) des Domain- und Web-Hosters GoDaddy (seit kurzem auch Besitzer von Host Europe [1]) wollte eigentlich den Prozess zur Ausstellung von Zertifikaten optimieren. Die CA hat sich dabei jedoch einen Software-Bug eingehandelt, aufgrund dessen sie Zertifikate für ungültig erklären mussten. Mittlerweile ist der Fehler korrigiert, versichert der Geschäftsführer [2] der CA Wayne Thayer.

Der Bug soll dazu geführt haben, dass der Domain-Validation-Prozess (DV) in einigen Fällen nicht richtig funktioniert hat. Darüber können Webseiten-Betreiber beweisen, dass sie die Kontrolle über eine Domain haben. Dafür platzieren sie auf ihrer Webseite Code von der CA, den diese anschließend in einem Scan sucht. Wird der Code gefunden, ist die Validierung erfolgreich abgeschlossen.

Im Fall von GoDaddy führte der Bug bei einigen Web-Server-Konfigurationen jedoch dazu, dass der DV-Prozess immer ein positives Ergebnis lieferte, selbst wenn der Code nicht da war, und ein Zertifikat ausgestellt wurde. Das sorgte dafür, dass GoDaddy den CA-Vorgaben entsprechend die betroffenen Zertifikate für ungültig erklärt hat.

Davon sollen ungefähr 6100 Kunden betroffen sein. Diese bekommen kostenlos eine neues Zertifikat, versichert die CA. Dafür müssen sich Betroffene in ihr GoDaddy-Konto einloggen und dort das SSL-Panel für weitere Infos aufrufen. Wer seine Webseite auch bei GoDaddy hostet, muss sich im Anschluss um nichts weiter kümmern. Liegt die Webseite woanders, muss man das neue Zertifikat noch verankern.

Webseiten mit einem ungültigem GoDaddy-Zertifikat sollen weiterhin erreichbar sein und auch die Transportverschlüsselung soll trotz Warnungen von Webbrowsern weiterhin aktiv sein. Betroffene Kunden sollten dennoch zügig handeln.

[UPDATE 12.01.2017 12:00 Uhr]

Erläuterung des Software-Bugs im Fließtext angepasst. (des [3])


URL dieses Artikels:
http://www.heise.de/-3594320

Links in diesem Artikel:
[1] https://www.heise.de/meldung/US-Provider-GoDaddy-uebernimmt-die-Host-Europe-Group-3563541.html
[2] https://www.godaddy.com/garage/godaddy/information-about-ssl-bug/
[3] mailto:des@heise.de