Let's Encrypt stoppt Zertifikatsausstellung nach Vorfall mit gekreuzter Root-Zertifizierung

Betroffen waren die Produktions- und Test-ACME-API-Endpunkte (acme-v02.api.letsencrypt.org und acme-staging-v02.api.letsencrypt.org) sowie die Produktions- und Test-Portal-Umgebungen, die in zwei Hochsicherheits-Rechenzentren gehostet werden. Etwa zwei Stunden und später, um UTC-Zeit, bestätigte die Organisation, dass die Zertifikatsausgabe wieder aufgenommen worden war.

Allerdings wurde infolge des Problems mit den kreuzsignierten Zertifikaten die gesamte Zertifikatserstellung auf die Generation X-Wurzel zurckgesetzt. Dieser Rollback betrifft speziell zwei ACME-Zertifikatsprofile: tlsserver und shortlived. Der Zeitpunkt des Vorfalls ist bemerkenswert, da Let's Encrypt bereits drei wesentliche Plattformnderungen angekndigt hatte, die am 13.

Mai 2026  also nur fnf Tage spter  in Kraft treten sollten. Zu diesen nderungen gehren: Das tlsserver-ACME-Profile wird Zertifikate mit einer Gltigkeitsdauer von ausstellen, im Rahmen des schrittweisen Fahrplans, der die Zertifikatslaufzeiten ber die nchsten zwei Jahre von 90 auf reduzieren soll.

Das tlsclient-Profile, das fr TLS-Client-Authentifizierungszertifikate verwendet

Das tlsclient-Profile, das fr TLS-Client-Authentifizierungszertifikate verwendet wird, wird ausschlielich fr ACME-Konten verfgbar sein, die zuvor Zertifikate aus diesem Profil angefordert haben. Die vollstndige Untersttzung fr tlsclient-Zertifikate endet am 8. Juli 2026.

Der klassische ACME-Profil wurde ebenfalls auf die bergang zu Generation Y-Intermediaten geplant, die sich an die bestehenden X1- und X2-Wurzeln anschlieen; diese nderung wurde entwickelt, um eine breite Kompatibilitt ber Client-Umgebungen hinweg zu gewhrleisten. Alle drei nderungen sind derzeit in der Testumgebung bleiben fr den Produktionsstart am 13.

Mai auf Kurs, vorbehaltlich der Lsung des Problems mit dem Wurzelzertifikat. Let's Encrypt hat keine Details darber offengelegt, ob vor dem Stilllegen der Ausstellung bereits falsch ausgestellte Zertifikate verteilt wurden.

Administratoren, die auf automatisierte, ACME-basierte Erneuerungsworkflows

Administratoren, die auf automatisierte, ACME-basierte Erneuerungsworkflows angewiesen sind, insbesondere diejenigen, die die tlsserver- oder shortlived-Profile verwenden, sollten die Erneuerungsprotokolle genau berwachen und sicherstellen, dass Zertifikate, die um den 8. Mai herum ausgestellt wurden, korrekt an die erwartete Wurzel gekettet sind. Updates und Community-Support bleiben unter community.letsencrypt.org verfgbar.

Cyberkriminelle dringen nun über Ihre Lieferanten ein, statt durch Ihre Haustür – Kostenloses Webinar Der Beitrag „Let's Encrypt stellt die Ausstellung Vorfall mit dem kreuzsignierten Root-Zertifikat" erschien erstmals auf Cyber Security News.