Let's Encrypt hat vorerst doch "nur" 1,7 Millionen Zertifikate zurückgezogen

Von 3 Millionen Zertifikaten hat Let's Encrypt Mittwochnacht gut die Hälfte ungültig gemacht. Gültig blieben die, die aktuell für Websites genutzt werden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 51 Beiträge

(Bild: Shutterstock / your )

Von

Eigentlich wollte die Zertifizierungsstelle (CA) Let's Encrypt vergangene Mittwochnacht bis 3 Uhr mitteleuropäischer Zeit ganze 3 Millionen TLS-Zertifikate aufgrund eines Sicherheitsproblems ungültig machen. Betroffene Admins wurden 24 Stunden zuvor per E-Mail informiert, um ihnen ausreichend Zeit für den fälligen Zertifikatswechsel zu geben. Dem Sicherheitsproblem liegt ein Bug zugrunde, den wir am gestrigen Mittwoch detailliert in einer Meldung beschrieben haben.

Einer aktuellen Mitteilung von Let's Encrypt ist allerdings zu entnehmen, dass 1,3 Millionen Zertifikate nun doch bis auf weiteres ihre Gültigkeit behalten. Es handelt sich um jene, die noch immer für Websites verwendet und nicht bereits von den verantwortlichen Admins gegen neue ausgetauscht wurden.

Ungültig gemacht habe die Zertifizierungsstelle 1.706.505 Zertifikate, bei denen sie zuversichtlich sei, dass sie bereits ausgetauscht worden seien ("certificates that we are confident were replaced during the incident period"). Dazu kamen noch 445 Zertifikate, deren Rückzug hohe Priorität gehabt habe, da zwischenzeitlich Certification Authority Authorization (CAA)-Einträge vorgenommen worden seien, die die Ausstellung eines TLS-Zertifikats durch Let's Encrypt für die betreffende Domain verboten.

Die CA befand die gesetzte Deadline laut Mitteilung für weniger wichtig als die "Gesundheit des Internet". Man habe vermeiden wollen, so viele Websites vorübergehend "kaputtzumachen" und damit auch Unannehmlichkeiten für deren Besucher zu verursachen.

Let's Encrypt kündigte allerdings an, noch weitere Zertifikate zurückziehen zu wollen, sobald man zuversichtlich sei, dass dies "keine unnötige Störung für Internetnutzer mit sich bringe". Konkretere Angaben macht die CA nicht. Sie weist außerdem darauf hin, dass Let's-Encrypt-Zertifikate generell nur 90 Tage gültig seien, so dass sich das Problem relativ schnell von selbst erledige.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

(ovw)