Let’s Encrypt: über 3 Millionen Zertifikate ungültig?

Let’s Encrypt bietet seit 2015 Website-Betreibern kostenlose SSL-/TLS-Zertifikate an und ist damit mehr als erfolgreich. Derzeit soll es rund 116 Millionen aktive Zertifikate vom Anbieter geben – das zeigt, wie beliebt der Anbieter unter Website-Betreibern ist. Doch nun gibt es erstmals Probleme. Ein Teil der Zertifikate, etwa 3 Millionen, sind evtl. seit heut ungültig. Wie man mitgeteilt hat, ist ein Fehler bei der Prüfung der CAA-Records unterlaufen, der nun dazu führt, dass Zertifikate ungültig werden.

In der Nacht zum heutigen Tag (Mittwoch) wurde mit dem Zurückziehen der fehlerhaften Zertifikate begonnen und bei den betroffenen Websites werden teilweise von Browsern Warnhinweise ausgegeben. Das könnte unter anderem auch dazu führen, dass die Besucherzahlen zurückgehen. Mit dem Chrome-Browser soll es laut Berichten jedoch weiterhin kein Problem sein, die betroffenen Websites aufzurufen. Was genau aber die fehlerhaften Zertifikate noch an Auswirkungen mit sich bringen, ist bisher noch nicht klar.

Während Let’s Encrypt sich über den Blog und die Social Media Kanäle eher verhalten zur Problematik äußert, wurden aber wohl alle betroffenen Nutzer per E-Mail informiert. Das Problem dabei ist nur, dass die Nutzung des Dienstes auch ohne Angabe einer E-Mail Adresse möglich ist. Es dürfte also eine Vielzahl von Webmastern geben, die jetzt nicht darüber informiert wurden, weil sie eben keine Daten hinterlegt haben. Ob die eigene Website zu den ca. 3 Millionen gehört, kann mit diesem Tool geprüft werden. Ist das der Fall, sollte natürlich ein neues Zertifikat verwendet werden.

About