Bei Spotify war die Musik am letzten Mittwoch plötzlich aus. Offenbar hatten die Server-Admins des Musik-Streamingdienstes ein abgelaufenes TLS-Zertifikat aus den Augen verloren, weshalb es weltweit zu Ausfällen kam und die Nutzer keine Musik mehr abspielen konnten. Darüber wurde bei Twitter berichtet.
Zum Glück war das Problem recht schnell behoben, und nach gut anderthalb Stunden funktionierte der Abruf der Songs wieder.
Ursache des Problems war ein abgelaufenes TLS-Zertifikat auf Wildcard-Basis. Deshalb sollen hier kurz Vor- und Nachteil von Wildcard-Domains erklärt werden.
Was sind Wildcard-Zertifikate?
Über TLS-Zertifikate bauen zum Beispiel Browser eine verschlüsselte Verbindung zu einer Internet-Domain auf einem Web-Server auf. Im Unterschied zu „normalen“ TLS-Zertifikaten können Wildcard-Zertifikate das nicht nur für die Domains (Second Level Domain: beispiel.de), sondern auch für deren Subdomains (zum.beispiel.de) machen.
Der Nutzen wächst mit der Anzahl der Subdomains
Der Grund für die Nutzung eines Wildcard Zertifikats liegt auf der Hand: Man muss nicht Zertifikate für jede einzelne Subdomain mit im Auge behalten, sondern nur noch das Wildcard-Zertifikat der Domain. Je mehr Subdomains zu einer Domain existieren, umso höher ist der Nutzen.
Der Schaden allerdings auch…
Allerdings zeigt das Spotify-Beispiel von letzter Woche auch die Kehrseite der Medaille: Wenn die Admins vergessen, ein Wildcard-Zertifikat rechtzeitig zu erneuern, ist nicht nur wie bei einem „normalen“ Zertifikat die Domain nicht mehr erreichbar, sondern alle darüber eingebundenen Subdomains ebenfalls.
