Pressemitteilung von Hans-Peter Oswald

Skandal um SSL Zertifikate von Let's encrypt

---

---

SSL Zertifikate (https://www.domainregistry.de/zertifikate.html)werden dazu benützt, um die Daten-Übertragung vom Nutzer zu der Webseite von Firmen sicher zu machen. Normalerweise kosten SSL Zertifikate Geld, doch bei Let's Encrypt gibt es sie umsonst.

Der SPIEGEL berichtet:
"Millionen von Seitenbetreibern nutzen heute Let's Encrypt, und einige werden in den nächsten Tagen zum ersten Mal Probleme damit bekommen. Bei der Überprüfung der Eigentümer der jeweiligen Zertifikate hat Let's Encrypt einen Fehler gemacht. Ein zusätzlicher Sicherheitscheck, der bestimmte Angriffe verhindert, wurde nicht korrekt durchgeführt. Durch den Fehler müssen drei Millionen Zertifikate außerplanmäßig für ungültig erklärt werden. Das sind etwa 2,5 Prozent aller aktuell gültigen Zertifikate von Let's Encrypt."

Heise.de aktualisiert:
"Einer aktuellen Mitteilung von Let's Encrypt ist allerdings zu entnehmen, dass 1,3 Millionen Zertifikate nun doch bis auf weiteres ihre Gültigkeit behalten. Es handelt sich um jene, die noch immer für Websites verwendet und nicht bereits von den verantwortlichen Admins gegen neue ausgetauscht wurden."

Das Angebot von Let's encrypt hat zwei entscheidende Nachteile:

- der Algorithmus ist nicht so komplex wie der bei den Anbietern kommerzieller Zertifikate. Ein einfacher Algorithmus bedeutet keine starke Verschlüsselung und damit weniger Sicherheit.
- Let's encrypt kennt keine Haftung. Kommerzielle Anbieter entschädigen den Kunden, wenn ihr Produkt versagt.

- Als drittes Problem kommt jetzt offensichtlich die mangelnde Zuverlässigkeit hinzu.

Betroffene sollten umgehend auf die Zertifikate anderer Anbieter umsteigen. Zertifikate kommerzieller Anbieter gibt es ab 14 EUR/Jahr. Die Kosten für ein Zertifikat sollten kein Grund sein, die Sicherheit aufs Spiel zu setzen.

Hans-Peter Oswald
https://www.domainregistry.de/zertifikate.html

Bildquelle: gemeinfrei Firmen- & Pressekontakt