Australian Census website shut down due to cyber attacks

© EPA / JOEL CARRETT

B2B
03/03/2020

Ungültige Zertifikate: Millionen Webseiten könnten unzugänglich werden

Let's Encrypt zieht drei Millionen TLS/SSL-Zertifikate zurück. Viele Webseiten-Betreiber erfahren vor morgen aber nicht davon.

Die Nonprofit-Zertifizierungsstelle Let's Encrypt ist eine der größten weltweit. Durch einen Fehler muss sie nun drei Millionen TLS/SSL-Zertifikate zurückziehen. Die werden unter anderem für das Abrufen von HTTPS-Webseiten benötigt, aber auch für Mailserver, VPN-Server und anderes. Die "Revocation" der Zertifikate findet äußerst kurzfristig statt. Mit dem morgigen 4.3.2020 sind die betroffenen Zertifikate ungültig.

Fehlende Kommunikation

Das große Problem an der Sache ist, dass Let's Encrypt nicht alle Webseiten-Betreiber, die von dieser Revocation betroffen sind, darüber informiert bzw. informieren kann. Die Angabe einer E-Mail-Adresse ist bei der Nutzung von Let's Encrypt nämlich optional, wie Golem berichtet. Laut einem futurezone-Informanten wurden jedoch selbst Webseiten-Administratoren, die eine E-Mail-Adresse angegeben haben, nicht informiert.

"Einige wird es kalt erwischen"

In einem Hilfeforum-Eintrag beschreibt Let's Encrypt, was man tun kann, wenn man von der Revocation betroffen ist. Von den 116 Millionen aktiven Zertifikaten, die Let's Encrypt ausgestellt hat, sind es genau 3.048.289 Stück. "Dass Zertifikate zurückgezogen werden, passiert schon regelmäßig, aber so kurzfristig und in solch großer Anzahl, das ist etwas Ungewöhnliches. Es gibt keinen Workflow, der einen davor warnt. Einige Nutzer wird es kalt erwischen", meint der futurezone-Informant. Besonders unverständlich erscheint ihm, dass Let's Encrypt den Vorfall weder prominent auf seiner Homepage noch auf Social-Media-Kanälen erwähnt.

Browser-spezifischer Umgang

Durch die ungültigen Zertifikate wird es ab morgen höchstwahrscheinlich zu Problemen beim Aufrufen vieler Webseiten kommen. Welche Probleme genau auftreten, das hängt von Browser ab, mit der man den Abruf vornimmt. Chrome, Firefox, Edge und Co. gehen mit der Situation unterschiedlich um. "Ein zurückgezogenes Zertifikat kann für einen Browser potenziell bedeuten, dass es Kriminellen in die Hände gefallen ist", meint der Informant. Im schlechtesten Fall werden Webseiten daher unzugänglich. Ein automatisches Umstellen von einer HTTPS- auf eine HTTP-Verbindung ist nicht vorgesehen.

Von dem Problem sind auch zahlreiche österreichische Webseiten betroffen, u.a. die Webseiten einiger Autohersteller, Mobilitätsdienste, Möbelhäuser, Tourismusverbände, Online-Shops u.v.m.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.