Das Let's-Encrypt-Projekt will die Unterstützung für Benachrichtigungen über auslaufende Zertifikate abschaffen. Dieses Standardverhalten endet am 4. Juni dieses Jahres. Solche E-Mails versendet das Projekt bis dahin, wenn die Verlängerung eines Zertifikats über einen bestimmten Zeitraum nicht geklappt hat. Darüber hat das Projekt Nutzerinnen und Nutzer nun mit E-Mails informiert.
Anzeige
In einer zugehörigen Mitteilung auf der Let's-Encrypt-Webseite schreiben die Autoren, dass in den vergangenen zehn Jahren mehr und mehr Abonnenten verlässliche Automatisierung für die Zertifikatserneuerung eingesetzt haben. Zum Versenden der Ablauf-Benachrichtigungen muss Let's Encrypt Millionen von E-Mail-Adressen vorhalten, die mit den Herausgeber-Einträgen verknüpft sind. Dem Projekt ist Privatsphäre wichtig, daher sei den Maintainern das Entfernen dieser Anforderung wichtig.
An dritter Stelle nennt das Projekt die Kosten, die das Versenden der Nachrichten verursacht. Zehntausende Dollar jährlich fielen an, die die Maintainer lieber in "andere Aspekte der Infrastruktur" stecken könnten. Außerdem erhöhen die Ablauf-Benachrichtigungen die Komplexität der Infrastruktur, was Zeit und Aufmerksamkeit binde und die Wahrscheinlichkeit für Fehler erhöhe. Auf lange Sicht müsse das Projekt die Komplexität im Griff halten, insbesondere, wenn es neue Dienstbestandteile veröffentlicht und dafür Komponenten herauswirft, die nicht mehr länger zu rechtfertigen seien.
Für diejenigen, die weiterhin Benachrichtigungen über auslaufende Zertifikate erhalten wollen, empfiehlt Let's Encrypt Drittanbieterdienste wie Red Sift Certificates Lite, die bis zu 250 Zertifikate kostenlos überwachen und gegebenenfalls Ablauf-Benachrichtigungen schicken. Das kann sinnvoll und empfehlenswert sein, wenn über längere Zeiträume auslaufende Zertifikate nicht auffallen.
Zudem möchte Let's Encrypt demnächst Zertifikate mit sechs Tagen Laufzeit anbieten, geplanter Start ist im Februar. In einer weiteren Mitteilung erklärt das Projekt, dass Zertifikate mit kürzerer Laufzeit die Sicherheit erhöhen. Sofern der private Key zu einem Zertifikat kompromittiert ist, lautet die Empfehlung, das Zertifikat zurückzuziehen (certificate revoke). Das funktioniere jedoch nicht sonderlich gut. Das bedeutet, dass in der Praxis Zertifikate mit kompromittierten privaten Keys oder anderen Problemen bis zu ihrem eigentlichen Ablauf genutzt werden können. Je länger die Laufzeit, desto länger können problematische Zertifikate eingesetzt werden.
Zertifikate mit kurzer Laufzeit reduzieren daher das gefährliche Zeitfenster der Kompromittierung, da sie schnell ablaufen. Das mindere auch die Notwendigkeit der Zertifikat-Rückziehung, die historisch unzuverlässig war. Daher enthalten die Sechs-Tage-Zertifikate keine OCSP- (Online Certificate Status Protocol) oder CRL-URLs (Certificate Revocation List). Auf der Haben-Seite kommt die Unterstützung von IP-Adressen hinzu: Die Sechs-Tage-Zertifikate können für IP-Adressen ausgestellt werden.

(
Kommentare