Die Zertifizierungsstelle (CA) Let’s Encrypt zieht jetzt doch nicht alle drei Millionen Zertifikate zurück, die von dem Fehler bei der Zertifikatsausstellung betroffen waren. Man befürchtete wohl zu viele Probleme bei den Betreibern betroffener Internetseiten und entschied sich deshalb, erst einmal nur einen Teil der betroffenen Zertifikate zurückziehen.
Die CA hatte erst vor ein paar Tagen festgestellt, dass bei etwa drei Millionen Zertifikaten ein Fehler beim Prüfen des CAA-Records gemacht wurde. Nach den Regeln des CA/Browser-Forums müssten diese Zertifikate durchaus innerhalb von fünf Tagen zurückgezogen werden.
1,7 Mio Zertifikate wurden zurückgezogen, 1,3 Mio bleiben gültig
Der Foreneintrag des Let’s-Encrypt-Mitarbeiters Josh Ash erläutert die Entscheidung. Danach wurden statt 3 Millionen in der vergangenen Nacht nur 1,7 Millionen Zertifikate zurückgezogen.
Nach einem Check von Golem scheint es so, dass bei allen Websites, die ihre Zertifikate schon ausgetauscht haben, die alten Zertifikate nun zurückgezogen wurden. Während bei Websites, die noch betroffene Zertifikate nutzen, diese weiterhin gültig sind.
Es gibt aber noch einen weiteren Sonderfall: Bei 445 der Zertifikate wurde inzwischen ein CAA-Record gesetzt, der die Ausstellung eines Zertifikats durch Let’s Encrypt verbietet. Hier gibt es keine Ausnahmen, diese Zertifikate wurden alle zurückgezogen.
Ob die Let’s Encrypt-Zertifikate jetzt bis zu ihrem Laufzeitende gültig bleiben oder nach einiger Zeit doch zurückgezogen werden, ist noch unklar. Deshalb gilt weiterhin, dass Nutzer von Let’s Encrypt-Zertifikaten auf ihren Websites, prüfen sollten, ob sie betroffen sind und im Zweifelsfall die Neuausstellung der Zertifikate einleiten.