Fehler bei Let's Encrypt Warum jetzt ein Internet-Schluckauf droht

In den kommenden Tagen kann es auf vielen Websites zu Verbindungsproblemen kommen. Der Grund ist ein Fehler bei Millionen Verschlüsselungszertifikaten - nun müssen die Seitenbetreiber aktiv werden.
Von Hanno Böck
Wer in den kommenden Tagen Verbindungsprobleme zu manchen Websites bekommt, muss die Schuld nicht bei sich suchen

Wer in den kommenden Tagen Verbindungsprobleme zu manchen Websites bekommt, muss die Schuld nicht bei sich suchen

Foto: JEWEL SAMAD/ AFP

Einige Internetnutzer werden in den kommenden Tagen Fehlermeldungen sehen, die sie vermutlich nur schwer einordnen können. Sie können daran auch nichts ändern, der zugrundeliegende Fehler liegt weder bei ihrer Hard- oder Software, noch bei den Betreibern der betroffenen Websites. Sondern bei der Organisation Let's Encrypt, die kostenlose Websitezertifikate für verschlüsselte Verbindungen ausstellt. Die hat Millionen an Zertifikaten ausgestellt, die jetzt ungültig werden .

Die meisten Websites nutzen heute eine Technologie namens HTTPS, mit der die Verbindung zur Website durch Verschlüsselung geschützt wird. Das führt dazu, dass beispielsweise jemand, der im selben WLAN unterwegs ist, nicht mitlesen kann, was man gerade im Netz tut. Doch das war nicht immer so. Noch vor wenigen Jahren nutzten die meisten Websites unverschlüsselte Verbindungen. Der Ruf nach mehr Sicherheit und Privatsphäre nicht zuletzt nach den Snowden-Enthüllungen hat dafür gesorgt, dass unverschlüsselte Verbindungen selten geworden sind. Einen großen Anteil daran hat Let's Encrypt.

Wenn Websites verschlüsselte Verbindungen ermöglichen wollen, benötigen sie ein dafür passendes Zertifikat. Dabei handelt es sich letztendlich um eine Bestätigung, dass man der ist, der man vorgibt zu sein. Anders ausgedrückt: Das Zertifikat gewährleistet, dass die Daten von www.google.com wirklich von der Firma Google und nicht vom Tischnachbar im Café mit WLAN kommen. Früher waren diese Zertifikate teuer und auch umständlich zu bekommen und zu installieren - bis Let's Encrypt den Markt aufgemischt hat. Gegründet wurde Let's Encrypt von der US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und vom Browserhersteller Mozilla, finanziert wird es durch Spenden, die teilweise von großen IT-Unternehmen kommen. Zwei Dinge sind bei Let's Encrypt zentral: Die Zertifikate kosten nichts und die Ausstellung erfolgt vollständig automatisch über entsprechende Software, die man sich als Websitebetreiber installieren kann.

Millionen von Seitenbetreibern nutzen heute Let's Encrypt, und einige werden in den nächsten Tagen zum ersten Mal Probleme damit bekommen. Bei der Überprüfung der Eigentümer der jeweiligen Zertifikate hat Let's Encrypt einen Fehler gemacht. Ein zusätzlicher Sicherheitscheck, der bestimmte Angriffe verhindert, wurde nicht korrekt durchgeführt. Durch den Fehler müssen drei Millionen Zertifikate außerplanmäßig für ungültig erklärt werden. Das sind etwa 2,5 Prozent aller aktuell gültigen Zertifikate von Let's Encrypt.

Am Mittwochabend geht es los

Festgestellt hatte Let's Encrypt den Fehler am vergangenen Samstag. Gemäß der Regeln, an die sich alle Zertifikatsaussteller zu halten haben, muss Let's Encrypt die Zertifikate nun innerhalb von fünf Tagen als ungültig markieren. Normalerweise sind die Zertifikate für drei Monate gültig und werden vor Ablauf automatisch ersetzt. Doch auf einen Vorfall wie diesen ist die Automatisierungssoftware nicht eingestellt. Betreiber von betroffenen Seiten müssen daher selbst aktiv werden und eine Neuausstellung manuell anstoßen. Und das möglichst schnell: Am heutigen Mittwochabend wird Let's Encrypt anfangen, die Zertifikate als ungültig zu markieren.

Wer Let's Encrypt nutzt, kann einen von der Organisation bereitgestellten Onlinecheck  verwenden, um zu prüfen, ob die eigene Website betroffen ist. Am Mittwochmorgen waren in Deutschland beispielsweise noch die Seiten des Fernbusanbieters Flixbus und die der Hessenschau betroffen.

Dass die Regeln so streng sind, liegt daran, dass es in der Vergangenheit häufig zu Problemen bei anderen Zertifikatsausstellern kam. Lange Zeit gab es überhaupt keine Regeln, und falsch ausgestellte Zertifikate, die auch für Angriffe auf Nutzer eingesetzt wurden, waren an der Tagesordnung. In vielen Fällen versuchten Zertifikatsaussteller, solche Vorfälle zu vertuschen. Inzwischen ist alles deutlich reglementierter und die Hersteller der Webbrowser achten darauf, dass die Zertifikatsaussteller sich auch an die Regeln halten.

Für Internetnutzer heißt der Vorfall vor allem, dass sie in den nächsten Tagen damit rechnen müssen, dass einige Webseiten Verbindungsfehler zeigen, die auf ein widerrufenes Zertifikat verweisen. Ob man solche Verbindungsfehler sieht, liegt jedoch nicht nur an den Zertifikaten der Seiten, die man besucht, sondern auch am verwendeten Browser. Während der Firefox- und Edge-Browser die Gültigkeit von Zertifikaten bei jedem Webseitenbesuch prüfen, macht der Chrome-Browser von Google das nicht. 

Let's Encrypt war bisher von größeren Problemen verschont und auch der jetzige Vorfall dürfte kaum den großen Erfolg des Projekts infrage stellen. Vor Kurzem hatte die Organisation verkündet, dass sie seit ihrer Gründung insgesamt eine Milliarde Zertifikate ausgestellt hat. Die zurückgezogenen Zertifikate dürften ein paar Tage lang für etwas Unruhe sorgen. Aber es ändert nichts daran, dass Let's Encrypt entscheidend dazu beigetragen hat, das Internet ein bisschen sicherer zu machen.

Hinweis vom 5.3.: Inzwischen hat Let's Encrypt sich entschieden , einige der betroffenen Webseitenzertifikate vorerst nicht umgehend zurückzuziehen - aus Sorge vor Verbindungsproblemen auf Seiten der Website-Nutzer.