Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Johannes Merkert 58

Letsencrypt sperrt TLS-SNI Domainvalidierung

Letsencrypt spert TLS-SNI Domainvalidierung

Bild: Bo-Yi Wu (CC-BY)

Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer Sicherheitslücke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins müssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.

Letsencrypt stellt für jeden kostenlose SSL-Zertifikate aus, der beweisen kann, dass er eine Domain kontrolliert. Die CA bietet drei verschiedene Wege dafür an: Abfrage einer kryptisch benannten Datei über einen HTTP-Server, ein TXT-Record im DNS oder ein selbstsigniertes Zertifikat für eine kryptische Subdomain, das der TLS-Server ausliefert. Die letzte Methode (TLS-SNI-01) musste Letsencrypt abschalten, da eine Sicherheitslücke bekannt wurde.

Anzeige

Die Lücke entsteht nur auf Servern, die für mehrere Benutzer Dienste für mehrere Domains bereitstellen und gleichzeitig den Benutzern die Möglichkeit geben, ohne weitere Prüfung Zertifikate über den TLS-Server bereitzustellen. Bei derart fahrlässig agierenden Servern fehlt bei der TLS-SNI-Validierung die Zuordnung zwischen Domain und Benutzer, sodass jeder Benutzer für beliebige andere Dienste auf dem Server Zertifikate über Letsencrypt beziehen könnte.

Letsencrypt steht im Kontakt mit betroffenen Hostern, damit diese die in den Zertifikaten angegebene Domain prüfen, bevor Benutzer sie auf den TLS-Server laden können. In einem ersten Schritt sollen einige populäre Hoster, die die Lücke geschlossen haben, freigegeben werden. Danach soll die Validierungsmethode für alle außer den Hostern freigegeben werden, die noch keinen Patch eingespielt haben. (jme)

58 Kommentare

Anzeige
  1. Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus

    Let's Encrypt stellt ab sofort Wildcard-Zertifikate aus

    Die kostenlose Zertifizierungsstelle Let's Encrypt stellt ab sofort auch Zertifikate ohne explizit benannte Subdomains aus. Durch solche Wildcards können Admins mit weniger unterschiedlichen Zertifikaten HTTPS aktivieren.

  2. Let's Encrypt verschiebt Wildcard-Zertifikate

    Let's Encrypt verschiebt Wildcard-Zertifikate

    Eigentlich wollte Let's Encrypt ab 27. Februar auch Wildcard-Zertifikate ausstellen. Nun verschiebt die kostenlose CA das neue Feature auf einen unbestimmten Termin im ersten Quartal. Auch die neue Protokoll-Version ACME 2.0 kommt später.

  3. TLS-Zertifikate: CAAs sollen Zertifizierungsstellen an die Leine legen

    Zertifikate: CAAs sollen CAs an die Leine legen

    Admins können mit einer Certification Authority Authorization im DNS festlegen, wer Zertifikate für ihre Domain unterschreiben darf. Ab dem 8. September sind diese Vorgaben für Zertifizierungsstellen verbindlich.

  4. Google App Engine startet standardmäßige Verschlüsselung

    Google App Engine startet standardmäßige Verschlüsselung

    Zwar steckt der Dienst noch in der Betaphase, in der App Engine neu erstellte Domänen werden jedoch zukünftig alle mit SSL-Zertifikat zur verschlüsselten Kommunikation ausgestattet. Außerdem ist die Admin-API fertig.

  1. Wie funktioniert Webhosting?

    Mit eigenem Webspace lassen sich Webseiten oder privater Cloud-Speicher aufsetzen - wenn man weiß, wie Hoster funktionieren und was man braucht.

  2. Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Sichere IoT-Kommunikation mit MQTT, Teil 2: Weitere Sicherungsmaßnahmen

    Das MQTT-Protokoll lässt sich effizient über Methoden absichern, die über die Standardfunktion mit Name und Passwort hinausgehen.

  3. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  1. PCIe-SSDs Samsung 970 Evo und 970 Pro: Schreiben mit 3 GByte/s

    Samsung 970 Evo und 970 Pro: Gutes beschleunigt

    Samsung setzt noch einen drauf: Die neuen PCIe-SSDs der 970-Serie sind vor allem beim Schreiben schneller als ihre Vorgänger.

  2. Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Linus Torvalds explodiert: "Manche Sicherheitsleute sind verfickte Idioten"

    Der Ton auf der Kernel-Mailingliste ist mal wieder eskaliert. Linux-Chef Torvalds belegte Sicherheitsleute mit deftigen Schimpfwörtern, nachdem Google-Entwickler Kees Cook versucht hatte, Sicherheitspatches bei ihm einzureichen.

Anzeige