Sicherheitslücke in Let's Encrypt: 3 Millionen Zertifikate betroffen

3 Millionen Let's Encrypt Zertifikate werden widerrufen. Doch wir entwarnen: Gemäss ersten Checks sind unsere Kunden nicht betroffen.

Was ist Let's Encrypt?

Let's Encrypt ist eine Certificate Authority (CA), die kostenlose SSL-Zertifikate ausstellt. Die Organisation existiert seit rund 5 Jahren und ist mittlerweile die grösste CA.

3 Millionen Zertifikate werden widerrufen: Was ist passiert?

Durch einen Fehler in der Software Boulder, welche von Let's Encrypt verwendet wird, waren die Checks der CAA Records beeinträchtigt, wodurch einige Zertifikate unberechtigt ausgestellt wurden. Am 4. März 2020 werden deshalb 3 Millionen Zertifikate widerrufen. Auf Webseiten mit betroffenen Zertifikaten wird dann eine Sicherheitswarnung angezeigt.

Bin ich betroffen?

Von dem Fehler sind nur einige Seriennummern betroffen, wodurch sich das eigene Zertifikat einfach überprüfen lässt. Ob die eigene Domain betroffen ist, lässt sich mit einem kostenlosen Tool einfach herausfinden.

Hier Zertifikat überprüfen

Was tun, wenn ich betroffen bin?

Alle Betroffenen werden aufgefordert, unbedingt und sofort das Zertifikat zu erneuern. Kunden von hosttech können das in wenigen Klicks im Control Panel vornehmen.

Ich verwende das Plesk Control Panel

Damit Sie Ihr Let’s Encrypt Zertifikat erneuern können, müssen Sie sich erst in Ihr Plesk Control Panel einloggen. Dies können Sie vom myhosttech Kundencenter aus, indem Sie unter «Servercenter» in die Einstellungen Ihres Hostings wechseln, und da auf «Login Control Panel» klicken. Im Plesk Control Panel können Sie dann links oben auf «Websites & Domains» klicken, sodass Ihnen in der Mitte Ihre Domains angezeigt werden.

Unter jeder Domain gibt es dann jeweils den Punkt «SSL/TLS-Zertifikate» den Sie anklicken können.

Let's Encrypt im Control Panel Plesk

Sie finden nun oben die Anzeige, dass das Let’s Encrypt Zertifikat für diese Domain verwendet wird und können Links oben auf «Zertifikat erneut ausstellen» klicken.

Von der Sicherheitslücke betroffene müssen das Let's Encrypt Zertifikat erneuern.

In der neuen Ansicht klicken Sie auf «Kostenlos nutzen», sodass das Zertifikat erneuert wird.

Die Nutzung von Let's Encrypt ist kostenlos.