Let's Encrypt CAA Rechecking Bug

  • Let's Encrypt hatte einen kleinen Fehler, bei dem möglicherweise nicht alles bei Ausstellung von Zertifikaten nach Vorschrift geprüft wurde. Deshalb will Let's Encrypt Morgen (2020-03-04) etwa 2-3 Millionen Zertifikate für ungültig erklären.


    Wenn ich es richtig verstanden habe, betrifft es nur Zertifikate zu Domains mit gesetztem CAA und wenn beim Request gleich mehrere Domains in einem Rutsch angegeben waren.

    Möglicherweise sind keine Domains bei Netcup davon betroffen aber wenn, würde es sich einfach mit einer "vorzeitigen" Neuaustellung von LE-Certs beheben lassen.


    https://community.letsencrypt.…ficates-on-march-4/114864

  • [Dieser Beitrag richtet sich vor allem an Administratoren von eigenen Serversystemen.]


    Man kann sich übrigens auch die vollständige Liste herunterladen, wenn man schnell mittels Script prüfen möchte, ob eigene Zertifikate oder Accounts betroffen sind: https://letsencrypt.org/caaproblem/


    Dabei tauchen aber auch Einträge für Zertifikate auf, die eventuell schon verlängert wurden! Ist bei mir z.B. der Fall. Betroffen sind laut Liste übrigens weltweit 3.048.289 Zertifikate, wovon viele aber sicher schon verlängert wurden.


    Einzelne Domains kann man hier verlässlich prüfen: https://unboundtest.com/caaproblem.html

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Als betroffener Nutzer erhält man übrigens eine E-Mail, wenn man bei der Beantragung eine E-Mail Adresse hinterlegt hat:

    Zitat

    ACTION REQUIRED: Renew these Let's Encrypt certificates by March 4

    Dabei ist allerdings zu beachten, dass man die auch bekommt, wenn das Zertifikat zwischenzeitlich bereits verlängert wurde!


    In diesem Fall hilft ein Test auf folgender Seite, um für Klarheit zu sorgen: https://unboundtest.com/caaproblem.html

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)