Let’s Encrypt schaltet unsichere Domainvalidierung ab
Nutzer der Certbot Software – vor allem die der ältere Versionen – müssen sich auf Veränderungen einstellen, den die Validierungsstelle Let`s Encrypt nimmt die Domain-Validierungsmethode TLS-SNI-01 aus dem Programm. Als Grund gibt das Unternehmen Sicherheitsbedenken an.
Let´s Encrypt nutzt seit Jahren das ACME Protokoll zur Validierungsprüfung und automatischen Zertifizierung von Webseiten. Dazu nutzt das Protokoll unterschiedliche Verfahren, u.a. die TLS-SNI-01-Validierung. Dabei wird der Domainbesitzung einer Überprüfung mittels TLS-Erweiterung SNI unterzogen. Er muss auf Anfrage des Servers kurzzeitig ein selbst signiertes Zertifikat ausliefern. Diese Praxis scheint Angriffe zu ermöglichen, fand der Sicherheitsforscher Frans Rosen heraus.
Im Januar 2018 stellte Rosen fest, dass es bei vielen Hostinganbietern möglich ist, dieses Zertifikat auch im Fremdnamen – also von anderen Nutzern – auszuliefern. Nachgewiesen hat der Experte diese Möglichkeit bei Heroku und Amazon Cloudfront. Ein Angreifer hätte sich also ohne Berechtigung ein Zertifikat für eine fremde Domain erstellen lassen können.
Nach dem bekanntwerden des Problems haben Heroku und Amazon umgehend Set ups als Vorsorge gegen dieses Vorgehen vorgenommen, doch das Problem könnte durchaus auch bei anderen Anbietern vorhanden sein. Aus diesem Grund hat Let´s Encrypt entschieden, die beanstandete Validierungsmethode aus dem Programm zu nehmen und erlaubte sie nur noch in Ausnahmefällen.
Die generelle Abschaltung der Domain-Validierungsmethode TLS-SNI-01 wird am 13. Februar 2019 erfolgen. Alle bisherigen Nutzer müssen eine neue Methode zur Domainprüfung nutzen, wie z.B. HTTP, DNS oder die TLS-Erweiterung ALPN. Betroffen sind auch Nutzer, die ihre Zertifikate automatisch erneuern. Sie müssen das Programm Cerbot auf die neueste Version 0.21 updaten, die im Januar 2019 veröffentliche wurde. Ältere Versionen werden dann nicht mehr unterstützt.
Let’s Encrypt alle Nutzer, die einen Account mit E-Mail-Adresse haben und die TLS-SNI-01-Methode noch nutzen, per Mail informiert. Trotzdem kann es ab 13. Februar zu Problemen kommen, da es Setups geben wird, die Zertifikate nicht mehr erneuern. Die Nutzer sollten sich also rechtzeitig informieren.