Let’s-Encrypt-Zertifikate unter Debian Stable gefährdet

Certbot
Titel : HTTPS | Quelle Sean MacEntee Lizenz: CC BY 2.0

Anwender von Debian Stable auf Servern, die ein Zertifikat von Let’s Encrypt verwenden, könnten am 13. Februar ein böses Erwachen erleben. Die Zertifizierungsstelle Let’s Encrypt gibt in ihrem Blog die Abschaltung der Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar 2019 bekannt.

Nicht zu beheben

Der Grund ist eine Sicherheitslücke, die kaum zu beheben ist, da das Problem in der Software liegt, die von vielen Hostern verwendet wird. Damit können unrechtmäßig Zertifikate für Domains ausgestellt werden, die nicht im Besitz des Antragstellers sind, wenn diese Domains auf einer Software gehostet wurden, die das Hochladen beliebiger Zertifikate erlaubt.

Grundpfeiler

TLS-SNI-01 ist eine von vier Domain-Validierungs-Varianten, die anderen sind DNS-01, HTTP-01 und seit Kurzem TLS-ALPN-01. Die Validierung über das Internet ist einer der Grundpfeiler von Let’s-Encrypt, der es erlaubt, das Ausstellen von Zertifikaten ohne Kosten für den Empfänger zu gestalten.

Völlig veraltet

Wer einen Server mit Debian Stable mit Let’s-Encrypt-Zertifikaten verwendet, ist nun im Zugzwang. In den Repositories von Debian Stable liegt eine veraltete Version des offiziellen ACME-Clients Certbot, einer Software, die automatisiert SSL/TLS-Zertifikate für Webserver abruft und bereitstellt.

Diese veraltete Certbot-Version 0.10.2-1 beherrscht nur die Validierung per TLS-SNI-01 und wird mit dem Abschalten dieser Methode keine Zertifikate mehr aktualisieren können, Betroffene müssen auf die Backports-Version Certbot 0.28.0-1~bpo9+1 umstellen.

Schnell gelöst

Dazu muss, falls noch nicht geschehen, ein Eintrag für Backports in die Quellenliste erstellt werden. Das gelingt mit folgender Zeile:

echo 'deb http://ftp.de.debian.org/debian/ stretch-  
backports main' >>/etc/apt/sources.list

gefolgt von:

apt update && apt -t stretch-backports install certbot

Damit stehen auch DNS-01 und HTTP-01 zur Verfügung und Zertifikate behalten ihre Gültigkeit und werden wie gehabt aktualisiert.

0 0 votes
Article Rating

Verwandte Themen

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
3 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments