Software::Distributionen::Debian

Debian-Server-Zertifikate gefährdet: Let's Encrypt schaltet TLS-SNI-01 ab

Anwender von Debian Stable auf Servern, die ein Zertifikat von Let’s Encrypt verwenden, könnten am 13. Februar ein böses Erwachen haben. Die Zertifizierungsstelle Let’s Encrypt gibt in ihrem Blog die Sperrung der Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar bekannt.

Software in the Public Interest (SPI)

Let’s Encrypt schaltet die Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar ab. Der Grund ist eine Sicherheitslücke, die kaum zu beheben ist, da das Problem in der Software liegt, die von vielen Hostern verwendet wird. Damit können unrechtmäßig Zertifikate für Domains ausgestellt werden, die nicht im Besitz des Antragstellers sind, wenn diese Domains auf einer Software gehostet wurden, die das Hochladen beliebiger Zertifikate erlaubt.

TLS-SNI-01 ist eine von vier Domain-Validierungs-Varianten, die anderen sind DNS-01, HTTP-01 und seit Kurzem TLS-ALPN-01. Die Validierung über das Internet ist einer der Grundpfeiler von Let’s-Encrypt, der es erlaubt, das Ausstellen von Zertifikaten ohne Kosten für den Empfänger zu gestalten.

Wer einen Server mit Debian Stable mit Let’s-Encrypt-Zertifikaten verwendet, ist nun im Zugzwang. In den Repositories von Debian Stable liegt eine veraltete Version des offiziellen ACME-Clients Certbot, einer Software, die automatisiert SSL/TLS-Zertifikate für Webserver abruft und bereitstellt.

Diese veraltete Certbot-Version 0.10.2-1 beherrscht nur die Validierung per TLS-SNI-01 und wird mit dem Abschalten dieser Methode keine Zertifikate mehr aktualisieren können, Betroffene müssen auf die Backports-Version Certbot 0.28.0-1~bpo9+1 umstellen.

Dazu muss, falls noch nicht geschehen, ein Eintrag für Backports in die Quellenliste erstellt werden und die aktuellere Version installiert werden. Damit stehen auch DNS-01 und HTTP-01 zur Verfügung und Zertifikate behalten ihre Gültigkeit und werden wie gehabt aktualisiert.