Let’s Encrypt stellt einen Großteil der Verschlüsselungszertifikate für Websites aus. Aufgrund eines Fehlers sind jetzt Millionen davon ungültig geworden. Dadurch könnten viele Internetseiten vorübergehend nicht aufrufbar sein. Laut „Spiegel“ nutzt etwa auch Flixbus die Zertifikate von Let’s Encrypt.
Heutzutage sind die allermeisten Internetverbindungen verschlüsselt, auch weil Privatsphäre- und Sicherheitsvorschriften es so verlangen. Während die Verschlüsselung früher oft noch sehr teuer und umständlich war, bietet Let’s Encrypt seit einigen Jahren die Zertifikate kostenlos an und sie werden über eine Software vollautomatisch ausgestellt. Dementsprechend nutzen Millionen von Seitenbetreibern die Zertifikate von Let’s Encrypt.
Am Samstag hatte die Organisation einen Fehler bei einem Sicherheitscheck gefunden. Aus Sicherheitsgründen müsse sie nun 2,6 Prozent der Zertifikate – das sind über drei Millionen – entziehen, hieß es in einer Mitteilung. Der Widerruf sollte aufgrund einer 5-Tages-Deadline in der Nacht zum Donnerstag beginnen. Nutzer von Let’s Encrypt seien per Mail informiert worden und müssen nun selbst aktiv werden, um die Verschlüsselung wieder herzustellen. Um zu prüfen, ob die eigene Website betroffen ist, stellt die Organisation auch ein Online-Tool zur Verfügung.
Droht für Usern nun das große Chaos?
Momentan sieht es nicht so aus. Denn in der letzten Nacht vermeldete Let’s Encrypt, dass bereits 1,7 Millionen betroffene Zertifikate erneuert worden seien. Man gab aber an, zu befürchten, dass etwa eine Million Zertifikate bis zur Deadline (5. März 4:00 MEZ) nicht ersetzt werden können. Dennoch habe man sich dazu entschieden, diese Zertifikate trotz Deadline nicht zu entziehen – da man die entsprechenden Websites nicht zerstören und deren User beunruhigen wolle. Bei Let’s Encrypt geht man davon aus, dass die betroffenen Seiten wahrscheinlich kein großes Sicherheitsrisiko darstellen. Da die Zertifikate nach 90 Tagen ganz regulär auslaufen, würden die ungültigen Zertifikate bald von selbst verschwinden.
Größere Unternehmen werden sicherlich schnell auf das Problem reagiert haben. Und in der Tat lässt sich zum Beispiel die Website von Flixbus problemlos öffnen. Selbst wenn eine Seite derzeit betroffen sein sollte, könnte man sie über bestimmte Browser immer noch erreichen:
Während Firefox und Edge bei jedem Aufruf die Verschlüsselung überprüfen, ist das beispielsweise bei Chrome laut „Spiegel“ nicht der Fall.
Bildquelle:
- Verschluesselung-Sicherheit-Daten-Internet: Bild: © Nmedia - Fotolia.com
