CleanPress

Schlagwort: Let’s Encrypt

  • Let’s-Encrypt-Zertifikate unter Debian Stable gefährdet

    Let’s-Encrypt-Zertifikate unter Debian Stable gefährdet

    Certbot
    Titel : HTTPS | Quelle Sean MacEntee Lizenz: CC BY 2.0

    Anwender von Debian Stable auf Servern, die ein Zertifikat von Let’s Encrypt verwenden, könnten am 13. Februar ein böses Erwachen erleben. Die Zertifizierungsstelle Let’s Encrypt gibt in ihrem Blog die Abschaltung der Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar 2019 bekannt.

    Nicht zu beheben

    Der Grund ist eine Sicherheitslücke, die kaum zu beheben ist, da das Problem in der Software liegt, die von vielen Hostern verwendet wird. Damit können unrechtmäßig Zertifikate für Domains ausgestellt werden, die nicht im Besitz des Antragstellers sind, wenn diese Domains auf einer Software gehostet wurden, die das Hochladen beliebiger Zertifikate erlaubt.

    Grundpfeiler

    TLS-SNI-01 ist eine von vier Domain-Validierungs-Varianten, die anderen sind DNS-01, HTTP-01 und seit Kurzem TLS-ALPN-01. Die Validierung über das Internet ist einer der Grundpfeiler von Let’s-Encrypt, der es erlaubt, das Ausstellen von Zertifikaten ohne Kosten für den Empfänger zu gestalten.

    Völlig veraltet

    Wer einen Server mit Debian Stable mit Let’s-Encrypt-Zertifikaten verwendet, ist nun im Zugzwang. In den Repositories von Debian Stable liegt eine veraltete Version des offiziellen ACME-Clients Certbot, einer Software, die automatisiert SSL/TLS-Zertifikate für Webserver abruft und bereitstellt.

    Diese veraltete Certbot-Version 0.10.2-1 beherrscht nur die Validierung per TLS-SNI-01 und wird mit dem Abschalten dieser Methode keine Zertifikate mehr aktualisieren können, Betroffene müssen auf die Backports-Version Certbot 0.28.0-1~bpo9+1 umstellen.

    Schnell gelöst

    Dazu muss, falls noch nicht geschehen, ein Eintrag für Backports in die Quellenliste erstellt werden. Das gelingt mit folgender Zeile:

    echo 'deb http://ftp.de.debian.org/debian/ stretch-  
backports main' >>/etc/apt/sources.list

    gefolgt von: 

    apt update && apt -t stretch-backports install certbot

    Damit stehen auch DNS-01 und HTTP-01 zur Verfügung und Zertifikate behalten ihre Gültigkeit und werden wie gehabt aktualisiert.

  • Let’s Encrypt bietet Wildcard-Zertifikate

    Wildcard-Zertifikate
    Quelle: : HTTPS von Sean MacEntee Lizenz: CC BY 2.0

     

    Let’s Encrypt, die Certificate Authority (CA) für kostenlose TLS-Zertifikate zur Absicherung von Webseiten per HTTPS, gibt die Freigabe des ACMEv2-Protokolls bekannt. Damit einher geht die Möglichkeit, jetzt mit Let’s Encrypt auch Wildcard-Zertifikate auszustellen. Die Veröffentlichung kommt mit einigen Wochen Verspätung.  Der Grund für die Verschiebung war eine gemeldete Sicherheitslücke in TLS-SNI-01, einer der drei Validierungsmethoden von Let’s Encrypt. Die Nutzung von TLS-SNI zur Validierung von Domains wurde daraufhin gesperrt.

    Erste Clients sprechen ACMEv2

    Wie Josh Aas, Geschäftsführer von Let’s Encrypt in seiner Ankündigung schreibt, ist Acmev2 für Wildcard-Zertifikate zwingend, sodass der benutzte Client dieses neue Protokoll bereits unterstützen muss. Einige Clients unterstützen ACMEv2 bereits, aber bei weitem nicht alle. ACME steht für Automated Certificate Management Environment und dient zur automatischen Prüfung der Inhaberschaft von Internet-Domains bei der Ausstellung von Zertifikaten.

    Nicht immer empfohlen

    Laut Aas können Wildcard-Zertifikate die Zertifikatsverwaltung in einigen Fällen vereinfachen, allerdings empfiehlt er für die meisten Anwendungsfälle nach wie vor Nicht-Wildcard-Zertifikate. RFC 6125 beschäftigt sich mit den Sicherheitsaspekten von Wildcard-Zertifikaten. Über ein Let’s-Encrypt-Konto können über einen Zeitraum von drei Stunden bis zu 300 Wildcard-Zertifikate angefordert werden, sodass auch Hosting-Provider wie WordPress.com und andere, die Let’s Encrypt unterstützen, Anfragen ihrer Kunden zügig bearbeiten können.

    Eine Ebene von Subdomains

    Mit Wildcard-Zertifikaten können alle Subdomains einer Domain mit nur einem Zertifikat abgedeckt werden. Das gilt allerdings nur für eine Ebene von Subdomains. Die technischen Hintergründe zu ACMEv2 vermittelt ein Eintrag im Let’s-Encrypt-Community-Blog. Das Protokoll ist derzeit in der Phase der Standardisierung bei der Internet Engineering Task Force. Es können also noch geringfügige Änderungen am Protokoll einfließen, was die jetzige Nutzung zum Ausstellen von Wildcard-Zertifikaten aber nicht einschränkt.

  • Let’s Encrypt erreicht 50 Millionen aktive Zertifikate

    Let's Encrypt
    Logo: Let’s Encrypt Lizenz: CC BY-NC 4.0

     

    Die Zertifizierungsstelle  (CA) Let’s Encrypt hat die Marke von 50 Millionen aktiver Zertifikate überschritten. Das Ende 2014 gegründete freie Projekt ist mit dem Angebot kostenloser und automatisierter TLS-Zertifikate in drei Jahren zu einer der größten CAs weltweit geworden. Die Zertifikate verschlüsseln die Transportwege zwischen Webseiten und Servern per HTTPS und tragen damit erheblich zur Sicherheit des Internet bei. Hauptsponsoren des Projekts sind unter anderem Akamai, Cisco, die Electronic Frontier Foundation, die Ford-Foundation, Google und Mozilla.

    Bald auch Wildcard-Zertifikate

    Die Zahl der per Zertifikat von Let’s Encrypt geschützten Webseiten beläuft sich derzeit auf rund 66 Millionen. Damit konnte 2017 die Zahl der verschlüsselten Webseiten von 46 auf 67 Prozent angehoben werden. Für das Jahr 2018 hat sich die Internet Security Research Group (ISRG), die hinter Let’s Encrypt steht, viel vorgenommen. Die Zahl der aktiven Zertifikate sowie der eindeutigen Domains soll im kommenden Jahr auf 90, respektive 120 Millionen erhöht werden. Weitere Pläne für 2018 sehen mit dem ACME-Protokoll in Version 2 für Ende Februar die Unterstützung für Wildcard-Zertifikate vor. Später im Jahr will Let’s Encrypt ECDSA-Root-Zertifikate einführen. ECDSA gilt als die Zukunft digitaler Signatur-Algorithmen, die als effizienter als RSA angesehen werden.

    [su_slider source=“media: 4192,4193″ link=“image“ width=“700″ height=“460″ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Einfach und kostenlos

    Der Erfolg von Let’s Encrypt liegt einerseits darin, dass die Zertifikate kostenfrei ausgegeben werden, andererseits aber auch an der Einfachheit mit der sie erstellt und automatisiert erneuert werden können. Mittlerweile gibt es über 60 Clients für unterschiedliche Plattformen, von denen der von der Electronic Fronmtier Foundation (EFF) entwickelte Certbot der bekannteste ist.

    Die Infrastruktur hinter der Certificate Authority (CA) Let’s Encrypt besteht derzeit aus rund 70 Servern, Switches und Firewalls. Der Finanzbedarf des Projekts bleibt dabei weiterhin relativ gering. Das Budget für 2018 beträgt gerade einmal drei Millionen US-Dollar.