Let’s Encrypt ist eine beliebte, kostenlose und quelloffene Zertifizierungsstelle, die von der Internet Research Security Group (ISRG) betrieben wird und weltweit mehr als eine Milliarde Zertifikate für Websites ausgestellt hat. Obwohl niemand den enormen Beitrag des Unternehmens zur HTTPS-Einführung im Internet leugnet, sind Let’s Encrypt-Zertifikate leider nicht immun gegen Bugs oder bösartige Ausnutzung. Der jüngste Rückschlag war, dass über drei Millionen Zertifikate von einem Fehler betroffen waren und widerrufen werden mussten.
Der Schuldige ist der Code, der nach einer CCA (Certificate Authority Authorization) sucht, wenn ein Benutzer seine SSL-Zertifikate erneuert, um sicherzustellen, dass der Domänenbesitzer keine Einschränkungen für die Erneuerung auferlegt hat. Infolgedessen waren die Besitzer mehrerer Domänen potenziellen Cyberangriffen ausgesetzt, da die automatischen Prüfungen von Lets Encrypt nur eine Domäne überprüften und die anderen ausließen.
Zunächst kündigte Let’s Encrypt an, dass dass es rund drei Millionen Zertifikate widerrufen wird Das Unternehmen beschloss jedoch in einer schnellen Kehrtwende, mehr als 1 Million SSL-Zertifikate aktiv zu lassen. Hier ist, was der Exekutivdirektor der IRSG zu diesem Thema zu sagen hat:
“Leider halten wir es für wahrscheinlich, dass mehr als 1 Million Zertifikate nicht vor Ablauf der Frist für den Widerruf ersetzt werden. Anstatt so viele Websites zu zerstören und deren Besucher zu beunruhigen, haben wir entschieden, dass es im besten Interesse der Gesundheit des Internets ist, diese Zertifikate nicht bis zum Stichtag zu widerrufen.”
Er versicherte weiter, dass potenziell nicht widerrufene Zertifikate bald ablaufen werden
.
“Let’s Encrypt bietet nur Zertifikate mit einer Lebensdauer von 90 Tagen an, so dass potenziell betroffene Zertifikate, die wir nicht widerrufen können, das Ökosystem relativ schnell verlassen werden. Wir planen, weitere Zertifikate zu widerrufen, sobald wir sicher sind, dass dies keine unnötigen Störungen für Webnutzer mit sich bringt.”
Der Let’s Encrypt-Fehler ist zwar keine Katastrophe, zeigt aber die Schwachstellen von kostenlosen Domain-Validierungszertifikaten und die Bedeutung einer effizienten und seriösen SSL-Zertifikatsverwaltung. Wenn es um Hunderte oder Tausende von Zertifikaten geht, ist eine manuelle Aktualisierung einfach keine Option. Die Zertifizierungsstellen sollten einen vertrauenswürdigen Autorisierungs- und Validierungsprozess gewährleisten, während die Unternehmen in Tools investieren müssen, die die Ausstellung und Verwaltung von SSL-Zertifikaten automatisieren.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10
