Let’s Encrypt musste eingestehen, rund drei Millionen Zertifikate ausgestellt zu haben, die formal ungültig waren. Obwohl man einen großen Teil der Zertifikate schnell zurückgezogen und erneuert hatte, wollte man das bei den restlichen vermeiden. Was war passiert und warum glaubte man bei Let’s Encrypt der Schaden für die Internetgemeinschaft wäre größer, wenn man die Zertifikate zurückziehe?
Um zu verstehen, was passiert ist, muss man einen Blick ins DNS werfen. Dort gibt es einen CAA-Eintragstypen („Certification Authority Authorization“). Dieser erst im vergangenen Jahr als RFC veröffentlichte Record-Typ gibt an, welche Certification Authority (CA) Zertifikate für eine Domain ausstellen darf. Clients ist es freigestellt, diesen Zusammenhang zu untersuchen. Die CAs haben sich jedoch darauf geeinigt, diesen Eintrag zu prüfen, bevor sie ein Zertifikat ausstellen. Dabei darf die Zeitspanne zwischen Prüfen und Ausstellen natürlich nicht zu lang sein, auch die Reihenfolge muss eingehalten werden. Und genau hier hat Let’s Encrypt den Fehler gemacht.
Um es klar zu sagen: Es war ein formaler Fehler. Doch bei Fragen der Sicherheit muss die Form gewahrt bleiben, sonst wird man schnell ein wenig nachlässig und irgendwann passiert dann das Unglück.
Da Fehler nun einmal vorkommen, muss solch ein Vorfall gemeldet werden. Das hat Let’s Encrypt getan und dabei zugleich um eine Ausnahme gebeten. Man hatte bereits über die Hälfte der Zertifikate ausgetauscht. Jedoch ist dies ein Client-Server-Modell, d.h. man kann nur den Clients neue Zertifikate übermitteln, die auch danach fragen. Die anderen Zertifikate müssen gemäß Vereinbarung der CAs innerhalb kurzer Zeit für ungültig erklärt werden. Das wären immer noch mehr als eine Million gewesen. Let’s Encrypt argumentierte, dass die Zertifikate selbst sicher seien. Würde man diese für ungültig erklären, würden Browser Zertifikatsfehler melden. Das wiederum führe wahlweise dazu, dass die betroffenen Betreiber unverschuldet Nachteile erlitten (Vertrauensverlust) oder die User die Meldung abschalten würden. Zudem seien Let’s Encrypt-Zertifikate nur für 3 Monate gültig, so dass das Problem spätestens dann vollständig behoben wäre.
Was können Unternehmen daraus lernen?
- Fehler passieren, auch in der Sicherheit
- Gerade bei Sicherheitsvorfällen sind diese offen zu kommunizieren. Offen heißt, dass alle potentiell Betroffenen informiert werden.
Das gilt auch, wenn es, wie im Fall von Let’s Encrypt, wahrscheinlich niemandem auffallen würde. Es wurde schließlich nur die Form verletzt, was man dem Zertifikat nicht ansieht. - Die Maßnahmen, die als Reaktion auf einen Sicherheitsvorfall erfolgen, müssen der Situation angemessen sein und den Betroffenen mitgeteilt werden.