Durch einen internen Fehler kann es zu Problemen mit den Zertifikaten von Let's Encrypt kommen. Damit Webseiten verschlüsselt übertragen werden können, benötigen sie ein Zertifikat, um so die Urheberschaft der Webseite sicherzustellen.
Zertifikate waren in der Vergangenheit teuer und schwierig zu installieren, aus diesem Grunde haben sich 2014 Organisationen und Firmen zusammengeschlossen, um kostenlose Zertifikate für Webseiten anzubieten, die einfach zu installieren sind. Damit soll erreicht werden, dass möglichst alle Webseiten verschlüsselt übertragen werden. Der Erfolg war überwältigend, inzwischen sollen über 1 Milliarde Zertifikate ausgestellt worden sein (Quelle). Ich habe in meinem Blog schon einige Male darüber geschrieben.
Durch einen Fehler (Einträge wurden nicht hinreichend geprüft) war Let's Encrypt gezwungen, ca. 3 Millionen Zertifikate zurückzuziehen, also ungültig zu machen. Das sind 0,3 % der bisher ausgestellten Zertifikate. Der Anteil der betroffenen Webseiten selber sollte noch einmal kleiner sein, da Webseiten (z. B. Subdomains) oft nur temporär angelegt und mit einem Zertifikat gesichert werden. Leider wurde dieses Problem sehr spät kommuniziert, so dass Webseitenbetreiber wenig Zeit haben, sich um das Problem zu kümmern.
Was passiert mit Seiten, die betroffen sind? Diese betroffenen Webseiten werden vermutlich ab heute (5.3.) beim Aufruf eine Sicherheitsmeldung über ein ungültiges Zertifikat ausgeben.
Wie erfahre ich, ob meine Webseite betroffen ist? Wenn Ihre Webseite betroffen ist, bekommen Sie u. U. eine Email (die bei der Zertifikatausstellung angegeben werden musste). Außerdem kann man unter folgender Adresse gucken, ob die eigene Seite betroffen ist: https://checkhost.unboundtest.com/. Und natürlich kann es sein, dass ihre Webseite den oben beschriebenen Sicherheitshinweis anzeigt, wenn sie geöffnet wird.
Was kann ich tun, wenn meine Seite betroffen ist? Das Zertifikat muss händisch erneuert werden. Sie können das entweder selber im Kundenbereich des Providers (1&1, Strato, Schwarzkünstler, Allinkl, domainfactory, HostEurope ...) machen oder bitten ihren Webmaster um Hilfe. Normalerweise ist das Problem mit einigen wenigen Handgriffen gelöst.
PS: Ich habe alle von mir betreuten Seiten mit Let's Encrypt-Zertifikat getestet, alle Tests waren negativ.
In letzter Zeit gibt es viele Spam-Kommentare, deswegen habe ich die Kommentarfunktion erst einmal abgeschaltet.
Einen Kommentar schreiben
Kommentar von Thomas |
Hallo, guter Tipp, genau das habe ich gerade gesucht. Beste Grüße, Thomas
Kommentar von Kristina |
Sehr genialer Tipp. Das brauchte ich! Vielen lieben Dank!
Kommentar von Alex |
DANKE! Ich hab auch eben danach gesucht und es klappt bestens.
Kommentar von Emanuel P. |
Bin gespannt, Backend ist leicht aber Frontend sind viele am Grübeln wegen des 401 Fehlers und es existiert leider keine gute Anleitung wi man 2FA fürs Frontend richtig konfiguriert (speziell Template Anpassung und security.yml)
Antwort von Anika Strobach
Danke für den Kommentar. Ich hoffe, ich habe bald die Zeit dazu!
Kommentar von Gerhard Hirt |
Guten Tag
Was kann ich tun, wenn z.B. bei der 7. Pos. die Meldung Zeitüberschreitung kommt?
Was ist der vermutliche Grund für diese Zeitüberschreitung.
Danke für eine kurze Antwort
Gerhard
Antwort von Anika Strobach
Vielen Dank für den Kommentar.
Die Zeitüberschreitung liegt normalerweise daran, dass die Internetverbindung zu langsam oder gestört ist, entweder bei Ihnen selber oder bei dem Server, auf dem Ihre Webseite liegt. Oft klappt es zu einem anderen Zeitpunkt.
Mehr kann ich leider aus der Ferne und mit den wenigen Infos nicht sagen.
Kommentar von Karsten |
Hallo,
ich habe das plugin installiert und aktiviert.
In einem Beitrag per code -> php-> pass = XXXX eingetragen
Es erfolgt keine Abfrage!
Codeschnipsel als weißes Feld!
Was mache ich falsch?
Der Beitrag ist einfach nur ein Link, den man nach Eingabe des richtigen Passwortes sehen soll.
Kommentar von Marion |
Hallo Anika,
danke für die hilfreiche Anleitung!
Weißt Du, ob man die 2FA problemlos wieder rückgängig machen kann?
Viele Grüße
Marion
Kommentar von Matthias Hechler |
Muss die DENIC denn nicht auch den Provider herausgeben?
Kommentar von Gottfried |
Hallo, 2FA ist ne super Sache, aber nun ist das Handy weg und ich habe noch eine Sicherung der Backup Codes. Muss ich den Codeblock nun ganz in des Feld eingeben?
Kommentar von Comichaot |
Hatte die letzten Tage vermehret Brutforce angriffe aber dank Limit Login Attempts Reloaded ist alles gut!
Kommentar von Michael Conrad |
Danke für den super Tipp! Das war genau das Steinchen, was mir auf den Weg zur Suche nach dem Webserver gefehlt hat.
Sie müssen sich anmelden, um Kommentare hinzuzufügen.