YetAnotherForum
Willkommen, Gast! Suche | Aktive Themen | Einloggen | Registrieren

Letsencrypt sperrt TLS-SNI Domainvalidierung
pc-chaot
#1 Geschrieben : Freitag, 12. Januar 2018 13:11:54
Rang: Administration


Gruppe: Moderator, Tester, Administrators, Registered

Mitglied seit: 23.01.2010
Beiträge: 9.351
Wohnort: zu hause
Die kostenlose Zertifizierungsstelle Letsencrypt sperrt wegen einer Sicherheitslücke eine von drei Methoden zum Beweisen, dass jemand eine Domain besitzt. Admins müssen eventuell den Client wechseln, um auf andere Validierungen auszuweichen.

Letsencrypt stellt für jeden kostenlose SSL-Zertifikate aus, der beweisen kann, dass er eine Domain kontrolliert. Die CA bietet drei verschiedene Wege dafür an: Abfrage einer kryptisch benannten Datei über einen HTTP-Server, ein TXT-Record im DNS oder ein selbstsigniertes Zertifikat für eine kryptische Subdomain, das der TLS-Server ausliefert. Die letzte Methode (TLS-SNI-01) musste Letsencrypt abschalten, da eine Sicherheitslücke bekannt wurde.

Die Lücke entsteht nur auf Servern, die für mehrere Benutzer Dienste für mehrere Domains bereitstellen und gleichzeitig den Benutzern die Möglichkeit geben, ohne weitere Prüfung Zertifikate über den TLS-Server bereitzustellen. Bei derart fahrlässig agierenden Servern fehlt bei der TLS-SNI-Validierung die Zuordnung zwischen Domain und Benutzer, sodass jeder Benutzer für beliebige andere Dienste auf dem Server Zertifikate über Letsencrypt beziehen könnte.

Letsencrypt steht im Kontakt mit betroffenen Hostern, damit diese die in den Zertifikaten angegebene Domain prüfen, bevor Benutzer sie auf den TLS-Server laden können. In einem ersten Schritt sollen einige populäre Hoster, die die Lücke geschlossen haben, freigegeben werden. Danach soll die Validierungsmethode für alle außer den Hostern freigegeben werden, die noch keinen Patch eingespielt haben.

QUELLE

Informationen über meine Test-Umgebungen <--- im Beitrag #4, auch mit den getesteten Betriebssystemen
In meinen Nachrichten-Quellen befinden sich (fast) immer weiterführende Links, Bilderstrecken und Videos!
Ist man in kleinen Dingen nicht geduldig, bringt man die großen Vorhaben zum Scheitern. (Konfuzius)


mfG --pc-chaot--
Benutzer, die gerade dieses Thema lesen
Guest (2)
Das Forum wechseln  
Du kannst keine neue Themen in diesem Forum eröffnen.
Du kannst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge nicht löschen.
Du darfst deine Beiträge nicht editieren.
Du kannst keine Umfragen in diesem Forum erstellen.
Du kannst nicht an Umfragen teilnehmen.

YAFPro Theme Created by Jaben Cargman (Tiny Gecko)
Powered by YAF | YAF © 2003-2009, Yet Another Forum.NET
Diese Seite wurde in 0,140 Sekunden generiert.