Laut einem Bericht der britischen Webseite The Register passierte der Sicherheitsfehler in einer Rundmail an die User von Let's Encrypt. Bei jeder neu versendeten E-Mail wurden die Mailadressen sämtlicher zuvor verschickten Mails an den Text mitangehängt. Let´s Encrypt hat nach eigenen Angaben sofort reagiert und den Versand nach rund 7.600 ausgelieferten Mails gestoppt (vgl. offizielle Mitteilung). Das entspricht demnach rund 2 Prozent des Datenbestands. Das Unternehmen verspricht, sich auf die Fehlersuche zu begeben.
Über Let's encrypt
Das Ziel des Projekts ist nicht weniger, als verschlüsselte HTTPS-Verbindungen zum Standard im Web zu machen und so für mehr Datenschutz und Sicherheit zu sorgen. Let's Encrypt möchte dies mit einfachen, kostenlosen Zertifikaten (Domain Validation) erreichen, die von den gängigen Browsern als vertrauenswürdig eingestuft werden. Darüber hinaus hat die ISRG ein neues Protokoll namens ACME entwickelt, das die Herausgabe von Zertifikaten automatisierbar macht. Zertifikate mit Angaben wie der Firmenadresse (Extended Validation) müssen von Firmen und Organisationen jedoch weiterhin kostenpflichtig erworben werden.
Hinter Let's Encrypt stehen bekannte Namen wie Mozilla, Akamai, Cisco und die Electronic Frontier Foundation. Sie haben sich in der Internet Security Research Group (ISRG) zusammengeschlossen. Let's Encrypt arbeitet auch mit großen Hostern und anderen großen Anbietern zusammen, um HTTPS zu verbreiten. Vor kurzem hatte Wordpress verkündet, seine Blogs mit Let‘s Encrypt-Zertifikaten auszustatten (Trojaner-Info berichtete).
Weiterführende Links zum Thema Let‘s Encrypt
Let's Encrypt bringt Gratis – SSL – Zertifikate für alle
Let’s-Encrypt stattet Word Press mit SSL-Zertifikaten aus
Warum Datensicherung und Datenverschlüsselung so wichtig ist