Wer jetzt seine Let’s-Encrypt-Zertifikate nicht erneuert, läuft Gefahr, morgen früh verunsicherte Nutzer auf der Matte stehen zu haben.

Die gemeinnützige Zertifizierungsstelle Let’s Encrypt macht in der Nacht auf Donnerstag knapp 3 Millionen TLS-Zertifikate auf Grund eines Sicherheitsproblems in seiner Software ungültig. Webseiten-Admins müssen sich bis 3 Uhr Nachts mitteleuropäischer Zeit darum kümmern, die entsprechenden Zertifikate auszutauschen. Wer das nicht tut, läuft Gefahr, dass Besucher seiner Website ab morgen früh TLS-Fehler angezeigt bekommen. Let’s Encrypt hatte betroffene Administratoren per E-Mail informiert, diesen allerdings nur 24 Stunden Zeit gegeben, sich um die Erneuerung zu kümmern – dafür hagelt es bereits reichlich Kritik. Viele Webadmins fühlen sich durch die knappe Deadline der Zertifizierungsstelle (CA) überrumpelt.

Laut den Verantwortlichen bei Let’s Encrypt handelt es sich bei dem Sicherheitsproblem um einen Software-Fehler im CAA-Code (Certification Authority Authorization) der Zertifizierungsstelle, der in einer Open-Source-Software namens Boulder verbaut ist. Durch den Fehler lassen sich unter bestimmten Umständen Zertifikate für Domains ausstellen, deren DNS-Eintrag dies eigentlich verhindern sollte. Das ermöglicht es theoretisch, sich Let’s-Encrypt-Zertifikate für fremde Domains ausstellen zu lassen. Mit einem solchen Zertifikat bewaffnet, könnte ein Angreifer den Web-Traffic von und zu dieser Domain abfangen und belauschen – also genau das tun, was TLS-Zertifikate eigentlich verhindern sollen.

Wer sein Let’s-Encrypt-Zertifikat bis drei Uhr in der kommenden Nacht nicht erneuert, dem könnte es im schlimmsten Fall blühen, dass seine Besucher bis zu zwei Monate lang TLS-Fehler angezeigt bekommen. Da Let’s-Encrypt-Zertifikate in der Regel 90 Tage gültig sind und automatisch erst 30 Tage vor Ablauf des Zertifikats erneuert werden, steht diese automatische Erneuerung bei ganz frischen Zertifikaten der gemeinnützigen CA erst in knapp 60 Tagen an.