Wie man heute bei Heise las, hat Let's Encrypt "vorerst doch "nur" 1,7 Millionen Zertifikate zurückgezogen" Sollte einen da zu denken geben? Entweder gehts dann nicht mehr oder die User ignorieren die Fehlermeldung und laufen früher oder später in eine Falle. Das zeigt uns mal wieder das die Sicherheit durch irgendwelche Zertifikate auch nur Spaß ist. Schaut mal nach, ob Ihr betroffen seid.
oszi40 schrieb: > Das zeigt uns > mal wieder das die Sicherheit durch irgendwelche Zertifikate auch nur > Spaß ist. Mir zeigt’s in erster Linie, dass LE fähig ist, zu handeln. Das haben ja selbst kommerzielle Zertifikatsanbieter in der Vergangenheit nicht immer hinbekommen. oszi40 schrieb: > Schaut mal nach, ob Ihr betroffen seid. Wenn man explizit nachschauen muss, macht man’s eh falsch. Normalerweise sollte™ man seine Mails schon zeitnah lesen.
Wie wäre es denn mal damit, auch Freitags den Artikel durchzulesen und zu verstehen?
Kurz verstanden: Grünes Schloss da? Lang: https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur-1-7-Millionen-Zertifikate-zurueckgezogen-4676780.htm Unsichere Zertifikate müssen natürlich zeitnah getauscht werden. Frage ist bloß, ob die ganze Zertifikatskette sauber ist. Manches macht Arbeit.
Wenn die bei der Registrierung angegebene Mailadresse stimmte, wurden die Leute darüber informiert.
oszi40 schrieb: > https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur-1-7-Millionen-Zertifikate-zurueckgezogen-4676780.htm Bei mir kommt nur 404 So passt es: https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur-1-7-Millionen-Zertifikate-zurueckgezogen-4676780.html
Ah, ja mich hatte es auch erwischt. Zum glück hatte ich nochmal in die Mails geschaut. Weniger als 1 Tag Reaktionszeit für ein renew find ich doch etwas zu kurz.
oszi40 schrieb: > Kurz verstanden: Grünes Schloss da? Ich sehe nur einen grünen Pfeil - grüne "Schlösser" gibt's schon lange nicht mehr, es sei denn, man ist sehr sparsam mit den Browserupdates gewesen. Abgesehen davon - diese Zertifikate wurden über den OCSP-Mechanismus zurückgezogen. Falls man einen Chrome benutzt, merkt man davon genau nichts, da Google OCSP komplett ablehnt. Bei Firefox wiederum ist diese Prüfung per Default aktiv - dort aber gibt es dann im Falle eines Zertifikat-Fehlers keinerlei Möglichkeit, diesen "weg zu klicken" - die Seite wird nicht geladen, es wird noch nichtmal eine Verbindung aufgebaut. Es gibt also auch keinerlei "Schlösser" zu prüfen, weder grün noch anders... > > Lang: > https://www.heise.de/security/meldung/Let-s-Encrypt-hat-vorerst-doch-nur-1-7-Millionen-Zertifikate-zurueckgezogen-4676780.htm > Unsichere Zertifikate müssen natürlich zeitnah getauscht werden. Frage > ist bloß, ob die ganze Zertifikatskette sauber ist. Manches macht > Arbeit.
:
Bearbeitet durch User
Jan L. schrieb: > oszi40 schrieb: >> Kurz verstanden: Grünes Schloss da? > > Ich sehe nur einen grünen Pfeil - grüne "Schlösser" gibt's schon lange > nicht mehr, es sei denn, man ist sehr sparsam mit den Browserupdates > gewesen. Mein aktueller Browser (Chrome-Derivat) hat ein grünes Schloss.
oszi40 schrieb: > Das zeigt uns > mal wieder das die Sicherheit durch irgendwelche Zertifikate auch nur > Spaß ist. Mal geschaut, was das Problem denn eigentlich war? Da gab's allenfalls ein abstraktes, theoretisches Risiko. Um das auszunutzen hätten die bösen Buben gebraucht: - Eine per CAA - geschützte Domain, die per DNS-Einstellung letsencrypt verbietet. - Der CAA-Schutz darf noch nicht zu lange bestehen, und letsencrypt muss einen alten CAA-Check mit "erlaubt" im Cache haben. - Zugang zum Webserver o.Ä. der Domain, um den letsencrypt-owner-check zu bestehen. Also z.B. den Server gehackt, mit Möglichkeit dort ".well-known" anzulegen. Dann hätten sie rein theoretisch ein LE-Zertifikat beantragen können. Was ihnen nicht sooo sonderlich viel mehr bringt als der Zugang zum Webserver, den sie ja schon haben müssen... Eigentlich hätte es gereicht, wenn Letsencrypt einfach für alle Zertifikate mal im DNS nachschaut, ob da ein CAA Record ist, und nur diese revoked. Wäre dann grad mal eine Handvoll statt 3 Mio gewesen. Aber das erlauben die CA-Browser-Forum-Richtlinien wohl nicht. Also alles raus, alles neu...
Εrnst B. schrieb: > Also > alles raus, alles neu... Eigentlich nicht verkehrt. Übung ist das halbe Leben. Wenn man nur alle Jubeljahre, wenn wirklich absolut alles in den Brunnen gefallen ist, etwas machen muss, werden es sonst zu wenige gebacken bekommen.
Walter T. schrieb: > Übung ist das halbe Leben. Das stimmt. Wieviele Admins solche Sachen verschlafen oder Urlaub haben, möchte ich gar nicht wissen. Jedenfalls war das auch eine gute Feuerprobe, die evtl. auch manchen sparsamen BWLer erschreckt haben könnte: "Zertifikate sind ja so wichtig wie der Blinddarm".
Meine Domain war auch betroffen. Ein: sudo certbot renew --force-renewal und fertig war die Laube. Also eingebettet in einem Script, das dan noch Webserver, Emailserver und co updatet damit.
Walter T. schrieb: > Εrnst B. schrieb: >> Also >> alles raus, alles neu... > > Eigentlich nicht verkehrt. Übung ist das halbe Leben. Wenn man nur alle > Jubeljahre, wenn wirklich absolut alles in den Brunnen gefallen ist, > etwas machen muss, werden es sonst zu wenige gebacken bekommen. Bei einer Zertifikatsgültigkeit von 90 Tagen hat man damit sehr schnell genug Übung ...
Εrnst B. schrieb: > Da gab's allenfalls ein abstraktes, theoretisches Risiko. > Um das auszunutzen hätten die bösen Buben gebraucht: > > - Eine per CAA - geschützte Domain, die per DNS-Einstellung letsencrypt > verbietet. > - Der CAA-Schutz darf noch nicht zu lange bestehen, und letsencrypt muss > einen alten CAA-Check mit "erlaubt" im Cache haben. > - Zugang zum Webserver o.Ä. der Domain, um den letsencrypt-owner-check > zu bestehen. Also z.B. den Server gehackt, mit Möglichkeit dort > ".well-known" anzulegen. > > Dann hätten sie rein theoretisch ein LE-Zertifikat beantragen können. > > Was ihnen nicht sooo sonderlich viel mehr bringt als der Zugang zum > Webserver, den sie ja schon haben müssen... Interessehalber, hast Du einen Link dazu? Meinem Verständnis der ursprünglichen Beschreibung nach hatte ich es nämlich genau so auch angenommen -- aber in anderen Artikeln dazu hörte es sich so an dass durch die Lücke jemand Zertifikate hätte bekommen können ohne Kontrolle über den Server zu haben. Das hat mich dann durchaus etwas verunsichert... Εrnst B. schrieb: > Eigentlich hätte es gereicht, wenn Letsencrypt einfach für alle > Zertifikate mal im DNS nachschaut, ob da ein CAA Record ist, und nur > diese revoked. > Wäre dann grad mal eine Handvoll statt 3 Mio gewesen. Irgendwo hatte ich in diesem Zusammenhang gelesen dass LE 120 Millionen momentan noch gültige Zertifikate ausgestellt hat -- demnach dürften die 3 Millionen schon nur die potenziell betroffenen sein oder?
Walter T. schrieb: > Εrnst B. schrieb: >> Also >> alles raus, alles neu... > > Eigentlich nicht verkehrt. Übung ist das halbe Leben. Wenn man nur alle > Jubeljahre, wenn wirklich absolut alles in den Brunnen gefallen ist, > etwas machen muss, werden es sonst zu wenige gebacken bekommen. Richtig. Andere haben in der Vergangenheit wesentlich ernstere Probleme schon oft genug unter den Teppich gekehrt, da ist es eine nette Abwechslung dass LE proaktiv agiert...
Ralf D. schrieb: > Bei einer Zertifikatsgültigkeit von 90 Tagen hat man damit sehr schnell > genug Übung ... Eigentlich will man Letsencrypt-Aktualisierungen möglichst automatisieren, wenn man ein paar davon hat. Artet sonst in Arbeit aus. Wobei es sich lohnen kann, die Verfügbarkeit der Seiten automatisiert zu prüfen. Damit man Probleme möglichst zeitnah spitz kriegt. Nicht erst wenn ein mutiger Nutzer nach Wochen schüchtern anfragt, wann denn die Seite wieder funktionieren wird.
:
Bearbeitet durch User
A. K. schrieb: > es sich lohnen kann, die Verfügbarkeit der Seiten automatisiert zu > prüfen. Automatisch prüfen ist schon mal gut, wenn es einer merkt und AKTIV wird. Vor Jahren war bei M$ schon mal der Teufel los, weil ein wichtiges Zertifikat einfach abgelaufen war...
oszi40 schrieb: > Vor Jahren war bei M$ schon mal der Teufel los, weil ein wichtiges > Zertifikat einfach abgelaufen war... Vor ein paar Wochen war "Teams" betroffen. ;-)
oszi40 schrieb: > A. K. schrieb: >> es sich lohnen kann, die Verfügbarkeit der Seiten automatisiert zu >> prüfen. > > Automatisch prüfen ist schon mal gut, wenn es einer merkt und AKTIV > wird. Vor Jahren war bei M$ schon mal der Teufel los, weil ein wichtiges > Zertifikat einfach abgelaufen war... ITYM "dieses Jahr". Ausfall von Office365-Authenifikation wegen abgelaufenen Zertifikats (das betraf nicht nur Teams sondern alle Office365-Apps). Unlustig. Und peinlich für Microsoft. Wobei mein Monitoring (Icinga2, Monitoring-Plugins) die Sperrung des Letsencrypt-Zertifikats via OCSP auch nicht mitbekommen hat, da muss ich noch mal nachbessern.
:
Bearbeitet durch User
Ralf D. schrieb: > die Sperrung des > Letsencrypt-Zertifikats via OCSP auch nicht mitbekommen hat Man wird ja nicht alle 2 Minuten alle Zertifikate prüfen wollen? Außerdem weiß man nicht, ob alle OCSP-Server schon was gemerkt haben?
Εrnst B. schrieb: > Aber das erlauben die CA-Browser-Forum-Richtlinien wohl nicht. Also > alles raus, alles neu... Jo, das ist auch richtig so. Bei Krypto werden paranoide Regeln aufgestellt und dann wird sich strikt daran gehalten. Das verhindert, dass einem nach einem Jahr einfällt "ach ups, aber unter diesen Umständen hätte man $bug den wir gerade gefunden haben dann doch ausnutzen können -- hätten wir die Zertifikate besser mal revoked". Ansonsten kann man sich das ganze Theater auch sparen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.