Letsencrypt must revoke 3 million certificates - kostenlos nutzbare Certificate Authority Letsencrypt muss am 04.03.2020 etwa drei Millionen Zertifikate widerrufen
Revoking certain certificates on March 4
community.letsencrypt.orgDue to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have contact information. This post and thread will collect answers to frequently asked questions about this revocation, and how to avoid problems by renewing affected certificates early. ...
Tja, der morgige Tag, der 04.03.2020, könnte spannend werden.
Bei Letsencrypt, der kostenlos und automatisiert nutzbaren Certificate Authority (CA), gab es einen Fehler im Code. Die Wirkung: Nun müssen etwa 3 Millionen Zertifikate zurückgezogen und neu ausgestellt werden. Das muß bis morgen erledigt sein. Da Letsencrypt ansonsten die Regeln des CA/Browser-Forums nicht mehr einhalten würde.
.
Revoking certain certificates on March 4
https://community.letsencrypt.org/t/revoking-certain-certificates-on-march-4/114864?u=juergenauer
Das Problem findet sich in einem Beitrag, der ein paar Tage älter ist:
2020.02.29 CAA Rechecking Bug
https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591?u=juergenauer
.
Wenn ein Zertifikat ausgestellt werden soll, dann muß die Certificate Authority zweierlei prüfen:
* Kann der Antragsteller nachweisen, daß er die Domain verwaltet?
* Läßt ein CAA Eintrag im DNS es zu, daß diese Certificate Authority ein Zertifikat für die Domain ausstellen darf?
Hat der Nutzer ein SAN-Zertifikat beantragt (Zertifikat mit mehreren Domainnamen), dann müssen beide Prüfungen für jeden Domainnamen durchgeführt werden.
Das Problem: Der Nachweis, daß die Domain vom Antragsteller verwaltet wird, wird von Letsencrypt 30 Tage lang gecacht und wiederverwendet. Innerhalb dieser Zeitspanne erfolgt also keine erneue "Domainverwaltungsprüfung".
Der CAA-Eintrag muß dagegen innerhalb von acht Stunden vor dem Ausstellen des Zertifikats geprüft werden. Das sehen die Regeln des CA/Browser-Forums vor, in dem sich CAs und Browserhersteller auf gemeinsame Regeln verständigen.
Bei der Überprüfung des CAA-Eintrags gab es einen Bug. Mit der Wirkung: Bei einem SAN-Zertifikat mit n Domainnamen wurde nicht jeder Domainname einzeln, sondern ein eher zufällig ausgewählter Domainname n mal geprüft.
Das tauchte im Letsencrypt-Forum als Frage auf, da sich ein Nutzer über die wiederholten Prüfungen zu derselben Domain wunderte. Wurde dann als Bug erkannt und gefixt (29.02.2020).
Nur: Damit gab es "einige" Zertifikate, die ausgestellt wurden, ohne daß der zugehörige CAA innerhalb der 8-Stunden-Frist geprüft wurde. Theoretisch ist es also denkbar, daß
* sich jemand ein Zertifikat mit diversen Domainnamen erstellt, die er soeben verwaltet,
* eine Domain wechselt wenige Tage später den Besitzer,
* der neue Besitzer erstellt einen blockierenden CAA-Eintrag, so daß Letsencrypt keine oder nur ein bestimmter-Letsencrypt-Account Zertifikate ausstellen darf,
* der erste Domainverwalter innerhalb der 30 Tage ein neues Zertifikat erstellt, ohne daß der zugehörige CAA-Eintrag geprüft wurde.
Praktisch ist das zwar unwahrscheinlich, theoretisch aber denkbar.
Damit müssen diese Zertifikate innerhalb von 5 Tagen widerrufen werden. Das ist eine CA/Browser-Forum-Regel.
Das Problem dabei: Es gab wohl gewisse Schwierigkeiten, die Zertifikate zu ermitteln, die von diesem Problem betroffen waren. Erst heute früh, gegen 09:38, gab es einen entsprechenden Beitrag. Plus eine Datei, die man sich herunterladen und durchsuchen kann. Sowie eine erste Version eines Online-Tools, das den Domainnamen prüft, ob dort ein Zertifikat aus der Liste oder ein neueres Zertifikat installiert ist.
Ergebnis: Die Benachrichtigungsmails wurden erst heute in Etappen verschickt. Das ganze Versenden dieser Mails scheint ein "Flaschenhals" zu sein. Die letzten Mails sind wohl erst heute abend rausgegangen.
Insgesamt betrifft das 3.048.289 Zertifikate von 378.325 Accounts. Wobei es bei diesen Zertifikaten auch Duplikate gibt.
Nicht betroffen sind alle Nutzer, die Zertifikate nur alle 60 - 89 Tage neu erstellen. Über diesen Zeitraum wird nichts gecacht, damit wurden alle Prüfungen durchgeführt.
Betroffen sind also nur Zertifikate, bei denen ein Folgezertifikat mit einer überlappenden Menge von Domainnamen innerhalb von 30 Tagen erstellt wurde. Dann ist es denkbar, daß zu einzelnen der CAA-Einträge keine Prüfung durchgeführt wurde.
Kritisch könnte sein, daß sich manche IT-ler auf die automatische Neuerstellung verlassen und bsp. im Urlaub sind. Dann wäre niemand da, der die Neuerstellung der kritischen Zertifikate manuell anstoßen könnte. Ebenso kann es sein, daß manche die Mailbenachrichtigungen abbestellt haben. Um plötzlich feststellen zu müssen, daß ihre Website nicht mehr funktioniert.
Wirkung: Wird die Domain mit dem zurückgezogenen Zertifikat mit FireFox aufgerufen, überprüft FireFox den OCSP-Status. Da das Zertifikat widerrufen ist, wird die Website nicht angezeigt. Chrome dagegen prüft den OCSP-Status nicht. Ruft also der Website-Betreiber seine Seite mit Chrome auf, sieht er gar keinen Fehler.
Server-Daten ist von dem Problem nicht betroffen, da alle Zertifikate nach 60 - 85 Tagen erneuert werden.
Auf der eigenen Check-Seite https://check-your-website.server-daten.de/ wurden die Seriennummern eingespielt. Wird eine Domain getestet und gehört die Seriennummer eines Zertifikats zu der von Letsencrypt veröffentlichten Liste, wird eine zusätzliche Warnung ausgegeben.
Mal sehen, wie sich das morgen entwickelt, wenn die 3 Millionen Zertifikate widerrufen werden.
---
Update 05.03.2020, 15:45: In der Nacht (05.03.2020, 02:20 UTC) hat Letsencrypt erklärt, daß zunächst nur jene etwa 1,7 Millionen Zertifikate widerrufen wurden, für die bereits neue Zertifikate erstellt wurden ( https://community.letsencrypt.org/t/2020-02-29-caa-rechecking-bug/114591/3?u=juergenauer ). Diese 1,7 Millionen dürften damit bereits nicht mehr online sein. Ferner wurden etwa 400 Zertifikate widerrufen, zu denen es inzwischen einen einschränkenden CAA-Eintrag gibt.
Der Grund für das Noch-Nicht-Widerrufen der restlichen 1,3 Millionen:
> Rather than potentially break so many sites and cause concern for their visitors, we have determined that it is in the best interest of the health of the Internet for us to not revoke those certificates by the deadline.
Um nicht so viele Websites ungültig zu machen und Probleme für deren Besucher zu produzieren, haben wir uns entschlossen, diese Zertifikate zunächst nicht zurückzuziehen.
Wenn man sich klar macht, daß die ersten Informationen ungefähr am Dienstag gegen 09:00 vorlagen und es bis Dienstag nach 20:00 dauerte, bis alle Mails verschickt worden waren, dann wurden in etwa 1,5 Tagen 1,7 Millionen Zertifikate ersetzt. Wenn das in diesem Tempo heute weitergeht, dann wäre der Großteil der 3 Millionen heute abend ersetzt und könnte problemlos widerrufen werden, ohne deshalb Websites unbrauchbar zu machen.
Das scheint mir eine sinnvollere Regelung zu sein anstelle eines strikten Beharrens auf der 5-Tage-Frist des CA/Browser-Forums.