Let's Encrypt hat 3.048.289 Zertifikate zurückgezogen

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35596
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Let's Encrypt hat 3.048.289 Zertifikate zurückgezogen

Beitrag von doelf »

Aufgrund eines Sicherheitsproblems hat die Zertifizierungsstelle "Let's Encrypt" mehr als drei Millionen Zertifikate vorzeitig zurückgezogen. Die Maßnahme begann am gestrigen Mittwoch um 21:00 Uhr deutscher Zeit und den Betreibern der betroffenen Webseiten blieb nur etwas mehr als ein Tag, um auf die Ankündigung zu reagieren. In jedem Fall war ein manueller Eingriff erforderlich

Aktuell hat "Let's Encrypt" rund 116 Millionen Zertifikate ausgegeben, so dass 3.048.289 einem Anteil von 2,6 Prozent entsprechen. Bei etwa einem Drittel der zurückgezogenen Zertifikate handelt es sich um Duplikate, womit die Zahl der betroffenen Domains auf um die zwei Millionen sinkt. Dass "Let's Encrypt" derart hektisch reagiert hat, liegt in den strengen Anforderungen des "CA/Browser Forums", welches die verschiedenen Zertifizierungsstellen sowie die Browser-Entwickler repräsentiert, begründet.

Das Problem steckte in der quelloffenen Software "Boulder", welche als "Certification Authority Authorization" fungiert: Wird ein Zertifikat für mehrere Domains herausgegegeben, muss für jede einzelne Domain geprüft werden, ob der Auftraggeber auch die Kontrolle über diese Domain hat und somit ein entsprechendes Zertifikat erhalten darf. Doch statt dies für jede Domain zu prüfen, fragte "Boulder" nur die erste Domain ab, dies allerdings mehrfach, nämlich für die Zahl der angegebenen Domains. Somit war es möglich, Zertifikate für fremde Domains zu erlangen, welche sich beispielsweise für Mittelsmann-Angriffe missbrauchen lassen.

"Let's Encrypt" hatte das Problem am 29. Februar 2020 entdeckt und gut zwei Stunden später repariert. Allerdings bestand das Problem vermutlich schon seit dem 25. Juli 2019. Bisher ist unklar, ob der Fehler in den vergangenen sieben Monaten für Angriffe genutzt wurde.

Quelle:
https://community.letsencrypt.org/t/rev ... h-4/114864
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 35596
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Let's Encrypt hat nur 1,7 Millionen Zertifikate zurückgezogen

Beitrag von doelf »

Aufgrund eines Sicherheitsproblems hatte die Zertifizierungsstelle "Let's Encrypt" angekündigt, mehr als drei Millionen Zertifikate vorzeitig zurückzuziehen. Letztendlich wurden allerdings nur 1,7 Millionen Zertifikate für ungültig erklärt, da man ansonsten über eine Million Webseiten quasi stillgelegt hätte.

"Let's Encrypt" hatte am vergangenen Mittwoch um 21:00 Uhr deutscher Zeit mit der Ungültigmachung der als unsicher geltenden Zertifikate begonnen und als Deadline für den Austausch Donnerstag um 4:00 Uhr morgens kommuniziert. Dass "Let's Encrypt" den über E-Mail alarmierten Administratoren nur gut einen Tag zum Reagieren ließ, liegt in den strengen Anforderungen des "CA/Browser Forums", welches die verschiedenen Zertifizierungsstellen sowie die Browser-Entwickler repräsentiert, begründet. Gegen Ende der Deadline zeigte sich allerdings, dass nur 1.706.505 Zertifikate ausgetauscht worden waren. Abzüglich doppelter Einträge blieben damit gut eine Million Domains übrig, deren Erreichbarkeit durch die Rücknahme der restlichen Zertifikate akut bedroht war.

Wenn ein Browser auf eine Webseite zugreift und diese ein ungültiges Zertifikat vorlegt, warnt der Browser eindringlich vor dem Aufruf dieser Seite. Dies soll Benutzer vor dem Zugriff auf betrügerische Angebote oder gehackte Webseiten schützen. Das Zurückziehen von derart vielen aktiv genutzten Zertifikaten hätte die betroffenen Webseiten praktisch stillgelegt. Oder, schlimmer noch, es hätte Benutzer dazu verleiten können, die Warnungen der Browser zu ignorieren und somit die Autorität dieses Schutzmechanismus dauerhaft untergraben. Da keine akute Bedrohung besteht, wurde letztendlich entschieden, die restlichen Zertifikate normal auslaufen zu lassen - die von "Let's Encrypt" herausgegebenen Zertifikate haben nur eine Laufzeit von 90 Tagen.

Die Sicherheitslücke
Das Problem steckte in der quelloffenen Software "Boulder", welche als "Certification Authority Authorization" fungiert: Wird ein Zertifikat für mehrere Domains herausgegegeben, muss für jede einzelne Domain geprüft werden, ob der Auftraggeber auch die Kontrolle über diese Domain hat und somit ein entsprechendes Zertifikat erhalten darf. Doch statt dies für jede Domain zu prüfen, fragte "Boulder" nur die erste Domain ab, dies allerdings mehrfach, nämlich für die Zahl der angegebenen Domains. Somit war es möglich, Zertifikate für fremde Domains zu erlangen, welche sich beispielsweise für Mittelsmann-Angriffe missbrauchen lassen. "Let's Encrypt" hatte das Problem am 29. Februar 2020 entdeckt und gut zwei Stunden später repariert. Allerdings hatte das Problem vermutlich schon seit dem 25. Juli 2019 bestanden.

Quelle:
https://community.letsencrypt.org/t/202 ... g/114591/3
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten