„Let’s Encrypt“, eine gemeinnützige Organisation, die Millionen von Nutzern und Unternehmen auf der ganzen Welt geholfen hat, ihr HTTPS-Zertifikat für ihre Website bequem (und vor allem kostenlos) zu erhalten, warnt, dass sie in den kommenden Tagen bis zu zwei Millionen Zertifikate wegen eines Softwarefehlers zurückrufen wird.
In einem Beitrag in ihrem Unternehmensblog erklären sie, dass ein Benutzer am vergangenen Dienstag „zwei Unregelmäßigkeiten“ im Code gemeldet hat, der die Validierungsmethode „TLS Using ALPN“ (BRs 3.2.2.4.20, RFC 8737) in Boulder, ihrer automatischen Zertifikatsverwaltungssoftware, implementiert.
Hier erklärt das Unternehmen, dass „alle aktiven Zertifikate, die vor dem 26. Januar 2022, 0048 UTC, mit der TLS-ALPN-01-Herausforderung ausgestellt und validiert wurden, als fehlerhaft ausgestellt gelten“. Was bedeutet das? In den nächsten fünf Tagen wird das Unternehmen die Genehmigung für diese zwei Millionen Zertifikate, die als von dieser Sicherheitslücke betroffen gelten, widerrufen.
Die Organisation schätzt jedoch, dass weniger als 1 % der aktiven Zertifikate betroffen sind. Obwohl die Gesamtzahl groß ist, ist die Wahrscheinlichkeit, dass Ihr Zertifikat unter den widerrufenen Zertifikaten ist, gering; es wird geschätzt, dass die Organisation derzeit mehr als 220 Millionen aktive Zertifikate hat, die weiterhin normal funktionieren.
In jedem Fall versichert das Unternehmen, dass die Inhaber der problematischen Zertifikate per E-Mail über den Widerruf benachrichtigt werden und dann genaue Anweisungen für das weitere Vorgehen erhalten.
