Die Certification Authority (CA) Let's Encrypt hat über drei Millionen fehlerhafte Zertifikate zurückgezogen. Alle betroffenen SSL-/TLS-Zertifikate sind ab sofort ungültig.
Infolgedessen kann es passieren, dass Browser die Webseiten mit einem Warnhinweis versieht und als unsicher markiert. Webseiteninhaber sollten sich umgehend um ein neues Zertifikat bemühen. Welche weiterführenden Auswirkungen das Problem für Betreiber mit sich bringt, ist noch nicht absehbar.
Let's Encrypt bemüht sich jedoch die Nutzer über den Fall weitestgehend aufzuklären. Unter anderem
beschreibt die CA auf ihrer Webseite den Grund für die Revocation. Den Angaben zufolge wurde ein Fehler bei der Prüfung der CAA-Records entdeckt. CAA steht für Certificate Authority Authorization und beschreibt eine Technologie, über die festgelegt werden kann, welche Zertifizierungsstellen überhaupt dazu berechtigt sind, Zertifikate auszustellen.
Maximal acht Stunden vor der Ausstellung der Zertifikate muss eine Domainvalidierung, also eine Überprüfung des Domains vonseiten der CA erfolgen. Der Fehler bestand nun darin, dass diese Validierung bei Let's Encrypt eine Gültigkeit von 30 Tagen hatte.
Inhaber der fehlerhaften Zertifikate wurden laut Let's Encrypt per E-Mail informiert. Zumindest all jene, die ihre Kontaktdaten bei der CA angegeben hatten. Dies ist bei Let's Encrypt nicht zwingend erforderlich. Domaininaber können die Gültigkeit der eigenen Zertifikate deshalb auch über das Online Tool
https://checkhost.unboundtest.com/ überprüfen. Darüber hinaus stellt die CA ein
FAQ bereit, das einige der auftretenden Fragen ausführlich beantwortet.