Let`s Encrypt: Zertifizierungsstelle in der Kritik

Die Zertifizierungsstelle Let`s Encrypt steht in der öffentlichen Kritik. Der Grund: Trotz fehlender Sicherheitsüberprüfungen werden bereits Zertifikate für Domainadressen ausgestellt. Von der PSW Group, einem Unternehmen für IT-Sicherheitslösungen, wurden Beschwerden gegen die aktuelle Cross-Zertifizierung von IdenTrust eingereicht, die Let`s Encrypt nutzt.

Solange keine offizielle Prüfung der Domain-Zertifizierungsstelle mit anschließender Eintragung in das internationale CA/Browser Forum vorgenommen wurde, hätte IdenTrust das „Intermediate-CA-Zertifikate“ nicht freigeben dürfen.

Let`s Encrypt Audit bereits abgeschlossen ?
Heise Security hat sich beim zuständigen Prüfunternehmen Bright Line nach dem Stand der aktuellen Audits erkundigt. Die Verantwortlichen gaben aus Diskretionsgründen keine offiziellen Statements heraus aber Heise ist anscheinend bekannt, dass es bereits Pre Audits für Let`s Encrypt gegeben hatte, die Ende November abgeschlossen wurden. Da aber eine erfolgreiche Prüfung immer in entsprechenden Medien kommuniziert wird, stehen schriftliche Belege für den Sicherheitscheck noch aus.

Da die Prüfungen laut den Anforderungen den CA/Browserforums 90 Tage nach der Ausstellung eines ersten Sicherheitszertifikats abgeschlossen sein müssen, ist die Zeit für Let`s Encrypt kurz. Das erste Sicherheitszertifikat für die Domainzertifizierungsstelle stammt aus dem September – also muss das Audit bis Mitte Dezember beendet sein. Lediglich für die Erstellung und Veröffentlichung des Berichts haben die Prüforganisationen dann 30 Tage Zeit.

Laut den Basisanforderungen für CA`S von Mozilla, einem Sponsor von Let`s Encrypt, sind die ausgegebenen Intermediate-CA-Zertifizierungen vorerst noch legal, denn die Zertifizierungsstelle bewegt sich im Reglement des Point in Time Readiness Assessment (PITRA). Dafür muss die nächste Sicherheitsüberprüfung, die jährlich angesetzt wird, unbedingt wahrgenommen werden.

Umgang mit Sicherheitsüberprüfungen kritisiert
Kritiker sehen Let`s Encrypt in einer „Bringschuld“. Sie kritisieren, dass die Zertifizierungsstelle die Reglements bis auf das Äußerste ausreizt und damit das Vertrauen von Partnern, Sponsoren und Kunden aufs Spiel setzt. Wird die Sicherheitsüberprüfung nicht fristgerecht absolviert und schriftlich dokumentiert, ist IdenTrust verpflichtet, das Intermediate-CA-Zertifikate zu widerrufen und auch Mozilla sollte das Zertifikat vorübergehend als „nicht vertrauenswürdig“ einstufen und damit aussetzen.

Meinung von Domainsmalltalk:
schlechter Start für die kostenlose Vergabe von Domain-SSL-Zertifikate
Doch der Grundgedanke Domainsicherheit kostenlos anzubieten ist wirklich lobenswert.