Logo Swiss IT Magazine
MEDIADATEN
ABONNIEREN
NEWSLETTER
Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet
Quelle: Pixabay

Let's Encrypt: HTTPS-Validierungsmethode wird abgeschaltet

Die TLS-SNI-01-Validierung für HTTPS wird von Let's Encrypt schon bald nicht mehr angeboten. Der Grund ist eine Sicherheitslücke, mit der Zertifikate für fremde Domains ausgestellt werden können.
21. Januar 2019

     

Aufgrund von Sicherheitsrisiken stellt Let's Encrypt die Validierung über TLS-SNI-01 schon bald ein, wie "Golem" berichtet. Betroffene Benutzer wurden von Let's Encrypt per Email informiert, die Abschaltung solle schon bald erfolgen, wie der Validierungs-Service seinen Benutzern mitteilte. Der 13. Februar wurde als Stichtag festgelegt. Wie es weiter heisst, wären eine beachtliche Anzahl von Nutzern betroffen, da die TLS-SNI-01-Validierung etwa von der Certbot-Software standardmässig genutzt werde.


Vergangenes Jahr fand ein Sicherheitsforscher heraus, dass ein Zertifikat über die betroffene Validierungsmethode auch für eine fremde Domain ausgestellt werden könnte. In der Folge entschied sich Let's Encrypt, die Validierung nicht mehr weiterhin anzubieten. Ab dem 13. Februar können betroffene Benutzer die Validierung nicht mehr einsetzen und sind zur Umstellung gezwungen. Die Alternativen zur Validierung über TLS-SNI-01 seien HTTP, DNS und neu die TLS-Erweiterung ALPN. (win)


Weitere Artikel zum Thema

Shutdown in den USA macht Regierungs-Webseiten unsicher

 14. Januar 2019 - Durch den Shutdown in den USA wurden die Webseiten von vielen Regierungsorganisationen unsicher und mussten vom Netz genommen werden, weil deren Zertifikate nicht erneuert wurden. Betrofffen sind unter anderem die NASA und das Justizdepartement.

Forscher demonstrieren Ausstellung von falschen Webzertifikaten

 13. September 2018 - Ein Forscherteam des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) hat einen Weg gefunden, betrügerische Website-Zertifikate auszustellen, die eigentlich die Vertrauenswürdigkeit von Domains sicherstellen sollen.

Firefox: TLS-Zertifikate von Symantec nicht vertrauenswürdig

 27. August 2018 - Mozillas Browser Firefox stuft TLS-Zertifikate von Symantec in der aktuellen Nightly-Version als nicht vertrauenswürdig ein. Der Browser warnt die Nutzer, wenn diese Webseiten mit entsprechenden Zertifikaten aufrufen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
Im Spannungsfeld zwischen Innovationsgeist und Risikobereitschaft
Innovationen und Herausforderungen im digitalen Zeitalter
Unwetterwarnung!
Was tun als KMU, wenn die Attacken immer perfider werden?
Eine Cloud-Lösung kann Datensicherheit erhöhen
Advertorial

Eine Cloud-Lösung kann Datensicherheit erhöhen

In Rechenzentren sind weltweit grosse Datenmengen gespeichert, respektive auf Servern, die in Colocationsflächen kommerzieller Rechenzentrumsanbieter betrieben werden. Vergleicht man die Voraussetzungen mit Datenspeicherung im eigenen Unternehmen oder eigenem Rechenzentrum, so sind die Sicherheitsstandards in kommerziellen Rechenzentren höher. Cloud-Provider nutzen sichere Rechenzentrumsinfrastruktur und eine souveräne Cloud bietet hohen Datenschutz.
Schweizer Produktionsbetrieb bevorzugt gebrauchte Lizenzen
GOLD SPONSOREN
SPONSOREN & PARTNER