Certbot
Titel : HTTPS | Quelle Sean MacEntee Lizenz: CC BY 2.0

Anwender von Debian Stable auf Servern, die ein Zertifikat von Let’s Encrypt verwenden, könnten am 13. Februar ein böses Erwachen erleben. Die Zertifizierungsstelle Let’s Encrypt gibt in ihrem Blog die Abschaltung der Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar 2019 bekannt.

Nicht zu beheben

Der Grund ist eine Sicherheitslücke, die kaum zu beheben ist, da das Problem in der Software liegt, die von vielen Hostern verwendet wird. Damit können unrechtmäßig Zertifikate für Domains ausgestellt werden, die nicht im Besitz des Antragstellers sind, wenn diese Domains auf einer Software gehostet wurden, die das Hochladen beliebiger Zertifikate erlaubt.

Grundpfeiler

TLS-SNI-01 ist eine von vier Domain-Validierungs-Varianten, die anderen sind DNS-01, HTTP-01 und seit Kurzem TLS-ALPN-01. Die Validierung über das Internet ist einer der Grundpfeiler von Let’s-Encrypt, der es erlaubt, das Ausstellen von Zertifikaten ohne Kosten für den Empfänger zu gestalten.

Völlig veraltet

Wer einen Server mit Debian Stable mit Let’s-Encrypt-Zertifikaten verwendet, ist nun im Zugzwang. In den Repositories von Debian Stable liegt eine veraltete Version des offiziellen ACME-Clients Certbot, einer Software, die automatisiert SSL/TLS-Zertifikate für Webserver abruft und bereitstellt.

Diese veraltete Certbot-Version 0.10.2-1 beherrscht nur die Validierung per TLS-SNI-01 und wird mit dem Abschalten dieser Methode keine Zertifikate mehr aktualisieren können, Betroffene müssen auf die Backports-Version Certbot 0.28.0-1~bpo9+1 umstellen.

Schnell gelöst

Dazu muss, falls noch nicht geschehen, ein Eintrag für Backports in die Quellenliste erstellt werden. Das gelingt mit folgender Zeile:

echo 'deb http://ftp.de.debian.org/debian/ stretch-  
backports main' >>/etc/apt/sources.list

gefolgt von:

apt update && apt -t stretch-backports install certbot

Damit stehen auch DNS-01 und HTTP-01 zur Verfügung und Zertifikate behalten ihre Gültigkeit und werden wie gehabt aktualisiert.

Verwandte Themen

GNU/Linux Debian 9.8 »Stretch« freigegeben
views 466
Screenshot: ftNicht einmal einen Monat nach Debian 9.7 hat das Debian-Release-Team mit Debian 9.8 »Stretch« das achte Punkt-Release für die Stabl...
DebianGNU/Linux 9.7 »Stretch« freigegeben
views 618
Screenshot: ftNormalerweise deckt ein Punkt-Release bei Debian sowohl die Sicherheitslücken als auch Fehler in Paketen aus den letzten Monaten ab...
Fehler im Debian-Paketmanager behoben
views 458
Quelle: Chris Lamb | Lizenz: GPLv3Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und ande...
Debian 10 »Buster« wird vorbereitet
views 1.2k
Vorschlag für Buster-ArtworkAn diesem Wochenende beginnt bei Debian das Einfrieren der Codebasis, an dessen Ende die Veröffentlichung von Debian ...
Debian GNU/Linux 9.6 erschienen
views 1.1k
Screenshot: ftDebian 9.0 »Stretch« erschien am 16.6. 2017 und erhielt jetzt mit Debian 9.6 sein sechstes Punkt-Update. Debian 9.5 erschien Mitte ...

Beitrag kommentieren

Alle Kommentare
  • chris_blues

    21.01.2019, 16:42 Uhr

    Vielen Dank für die Info! Da hätt ich mich ganz schön gewundert, wenn auf einmal nur noch komische Meldungen kommen…

    Jruß

  • Jens T.

    22.01.2019, 11:18 Uhr

    Vielen Dank für den Hinweis und die Lösungsmöglichkeit! Leider “verwurstet” das CMS da was im Quellcode: die Backticks sollten wohl Hochkommas sein und es fehlt ein Bindestrich bei “stretch backports”.

    • Ferdinand Thommes

      22.01.2019, 11:23 Uhr

      Da muss ich mir wohl einen anderen Code-Block für Gutenberg suchen. Danke für die Hinweise.