GoDaddy-Zertifikate für ungültig erklärt aufgrund von Softwarefehler

12.01.2017 10:49 Uhr heise

Ein Softwarefehler hat dazu geführt, dass einige SSL-/TLS-Zertifikate von GoDaddy für ungültig erklärt werden mussten. Laut Berichten sind rund 6100 Kunden von diesem Problem betroffen. Wer betroffen ist » muss manuell einen Antrag auf ein neues « kostenloses Zertifikat stellen. Dies ist ein umständlicher Prozess – der zusätzlichen Aufwand verursachen kann.

Die CA hat sich dabei jedoch einen Software-Bug eingehandelt, aufgrund dessen sie Zertifikate für ungültig erklären mussten. Mittlerweile ist der Fehler korrigiert – versichert der Geschäftsführer der CA Wayne Thayer.

Fehler im DV-Prozess

Der Bug soll dazu geführt haben. Dass Domain-Validation-Prozess (DV) in einigen Fällen nicht richtig funktioniert hat. Darüber können Webseiten-Betreiber beweisen, dass sie die Kontrolle über eine Domain haben. Dafür platzieren sie auf ihrer Webseite Code von der CA, den diese anschließend in einem Scan sucht. Wird der Code gefunden; ist die Validierung erfolgreich abgeschlossen.

Im Fall von GoDaddy führte der Bug bei einigen Web-Server-Konfigurationen jedoch dazu, dass der DV-Prozess immer ein positives Ergebnis lieferte, selbst unter der Code nicht da war und ein Zertifikat ausgestellt wurde. Das sorgte dafür, dass GoDaddy den CA-Vorgaben identisch die betroffenen Zertifikate für ungültig erklärt hat.

Kostenloses Zertifikat auf dem Weg

Davon sollen ungefähr 6100 Kunden betroffen sein. Diese bekommen kostenlos eine neues Zertifikat versichert die CA. Dafür müssen sich Betroffene in ihr GoDaddy-Konto einloggen und dort das SSL-Panel für weitere Infos aufrufen. Wer seine Webseite ebenfalls bei GoDaddy hostet muss sich im Anschluss um nichts weiter kümmern. Liegt die Webseite woanders; muss man das neue Zertifikat noch verankern.

Webseiten mit einem ungültigem GoDaddy-Zertifikat sollen weiterhin erreichbar sein und auch die Transportverschlüsselung soll trotz Warnungen von Webbrowsern weiterhin aktiv sein. Betroffene Kunden sollten dennoch zügig handeln.

[UPDATE 12․01․2017 12:00 Uhr]

Erläuterung des Software-Bugs im Fließtext angepasst.

Zuletzt aktualisiert am 30.06.2023 23:19 Uhr

Kommentare

Ähnliche News

Apple setzt kürzere Gültigkeitsdauer für SSL/TLS-Zertifikate durch

Offenbar wird Apple künftig kürzere Gültigkeitsdauern für SSL/TLS-Zertifikate erzwingen. Diese Zertifikate werden genutzt – um eine sichere Verbindung zwischen Webservern und Browsern herzustellen.

Symantec bietet kostenlose SSL/TLS-Zertifikate im Web an

Verschlüsselung im Web: Symantec verspricht kostenlose SSL/TLS-Zertifikate

Symantec hat eine Initiative gestartet um zusammen mit Webhostern kostenlose SSL/TLS-Zertifikate für deren Kunden anzubieten. Diese Aktion namens Encryption-Everywhere-Kampagne soll dazu beitragen, dass das gesamte Internet flächendeckend verschlüsselt ist.

Kostenlose SSL-/TLS-Zertifikate von StartCom

Webseiten-Betreiber haben die Möglichkeit, kostenlose SSL-/TLS-Zertifikate von StartCom zu erhalten und diese automatisch auf ihren Web-Servern installieren zu lassen. Der Service nennt sich StartEncrypt und soll von der Beantragung bis zur Installation voll automatisiert ablaufen.

Sicherheitsverletzung bei GoDaddy: Über 1 Million WordPress-User betroffen

GoDaddy: Sicherheitsverletzung legt die Daten von 1,2 Mio WordPress-Usern offen

Ein unbekannter Angreifer hat bei GoDaddy, einem der größten Webhoster weltweit, eine Sicherheitsverletzung verursacht. Durch diese konnte der Angreifer am 6. September 2021 auf E-Mail-Adressen, Kundennummern und WordPress-Administrator-Passwörter zugreifen.

heisec-Webinar: Alles Wichtige zu SSL/TLS für Administratoren

Innerhalb einer Stunde erfahren Administratoren alles Wesentliche zur sicheren Verwendung von TLS-Verschlüsselung - angefangen bei CAA bis hin zu TLS 1․3. Hierbei wird auf Marketing verzichtet und ausreichend Zeit für individuelle Fragen eingeplant.