Wegen eines Sicherheitsproblems hat die Zertifizierungsstelle Let’s Encrypt vor einigen Tagen den Rückruf von drei Millionen TLS-Zertifikaten angekündigt. Inzwischen hat Let’s Encrypt rund 1,7 Millionen TLS-Zertifikate ungültig gemacht.
Let’s Encrypt habe damit in den ersten 48 Stunden nach Entdeckung des Bugs über die Hälfte der betroffenen Zertifkate abgearbeitet, heißt es in einer Mitteilung. Ungültig habe man zuerst diejenigen gemacht, die bereits von den betroffenen Admins getauscht worden seien. Außerdem seien 445 Zertifikate ungültig gemacht worden, für die eine hohe Priorität bestanden habe, weil dafür bereits Einträge für eine Certification Authority Authorization (CAA) zuungunsten von Let’s Encrypt gemacht worden seien. CAA-Einträge legen fest, wer Zertifikate für eine Domain unterschreiben darf.
Let’s Encrypt will in den folgenden Tagen noch weitere Zertfikate ungültig machen. Man wolle dabei aber sicher gehen, dass die betroffenen Webseiten weiter funktionieren. Damit solle gewährleistet bleiben, dass man nicht unnötig für Störungen bei der Internetnutzung sorge und Web-Nutzer damit beeinträchtige, indem Webseiten nicht mehr funktionieren.
