Ereignis-Log

Wir geben unser Bestes, unsere Services störungs- und unterbrechungsfrei anzubieten. Aber trotz großen Engagements und Vorsichtsmaßnahmen kann es vorkommen, dass es zu einem Ausfall oder einer Störung unserer Services kommt. Während wir, ebenso wie du, auf eine Reihe von Services von Fremdanbietern bauen, liegt das Problem (und seine Lösung) eventuell nicht in unserer Macht. Auf dieser Seite protokollieren wir Ereignisse und einige Hintergrundinformationen zum Geschehen. Sobald die Ursache bekannt ist, teilen wir die Einzelheiten hier mit.

Let‘s Encrypt – Zertifikatsprobleme (30. April 2021)

Am Freitag, den 30. April 2021, um etwa 19:40 Uhr (UTC), meldeten eine erhebliche Anzahl HTTPS-Prüfobjekte von vielen Uptrends Kunden den Fehler, dass das HTTPS-Zertifikat nicht bestätigt werden konnte. Nicht alle Prüfobjekte meldeten dieses Problem: Betroffen waren nur Websites, die ein vom Zertifikatsaussteller Let‘s Encrypt ausgegebenes TLS-Zertifikat nutzten.

Hintergrund: HTTPS-Prüfobjekte führen Zertifikatsprüfungen aus

HTTPS-Prüfobjekte testen die Verfügbarkeit der angegebenen URL. Sie prüfen auch die Gültigkeit des vom Server bereitgestellten HTTPS-Zertifikats, wenn die Option SSL Zertifikat Fehler prüfen auf der Registerkarte Erweitert in den Prüfobjekteinstellungen aktiviert ist. Zertifikate sind nur gültig, wenn sie noch nicht abgelaufen sind. Neben dem automatischen Ablauf (üblicherweise nach einem Jahr) können Zertifikate auch von dem Zertifikatsaussteller widerrufen werden. Daher muss die HTTPS-Zertifikatsprüfung bestätigen, dass das Zertifikat nicht widerrufen wurde, um eine unumstößliche Prüfung vorzunehmen und sicherzustellen, dass dem Zertifikat vertraut werden kann. Ohne dem wäre die Prüfung im Wesentlichen nicht schlüssig.

Was war das Problem?

Die Prüfung auf Widerruf wird auf zwei Wegen durchgeführt: über das OCSP (Online Certificate Status Protocol) und über eine Zertifikat-Widerrufsliste (Certificate Revocation List, CRL). Mehrere Stunden nach dem Ereignis berichteten Mitarbeiter von Let‘s Encrypt, dass sie eine abgelaufene CRL veröffentlicht hatten, weshalb CRL-Prüfungen fehlschlugen und einen Fehler meldeten. Als Folge meldeten Uptrends‘ Prüfobjekte einen möglicherweise unsicheren Status, da die Gültigkeit der Zertifikate einfach nicht bestätigt werden konnte.

Dies wirkte sich nicht nur auf Uptrends‘ Prüfobjekte aus: Jeder, der .NET oder Java-Code nutzte, um auf Websites und APIs zuzugreifen, war von dieser Situation betroffen. Das Problem wurde von Let‘s Encrypt am Samstag, den 1. Mai 2021, um 00:04 Uhr (UTC) behoben.

Browser haben dieses Problem nicht gemeldet.

Browser verwenden häufig eine eigene interne Zertifikats-Widerrufsliste, die sich nicht auf Zertifizierungsstellen stützt. Daher wurden betroffene Websites ohne Probleme im Browser dargestellt.

Fazit, Empfehlungen und Follow-up

Es bestand ein echtes Problem. Daher waren die Fehlermeldungen (Fehler oder Alarme? Beides?), die von den Uptrends HTTPS-Prüfobjekten verzeichnet wurden korrekt. Wir konnten die Gültigkeit der Zertifikate nicht bestätigen und somit auch nicht die Sicherheit, die sie gewährleisten sollten.

Wir sehen jedoch, dass es für unsere Kunden praktisch unmöglich war, das Problem zu lösen, da die Störung vollständig auf externen Faktoren beruhte. Damit du in Zukunft mehrere Wahlmöglichkeiten hast, ziehen unsere Entwickler die Einrichtung zusätzlicher Einstellungsoptionen in Betracht, sodass du den Level der Zertifikatsprüfungen (einschließlich Prüfung von Widerrufslisten) bestimmen kannst.

Wenn ein Problem wie dieses auftritt und du sicher bist, diese Art von Fehler zeitweilig ignorieren zu wollen, kannst du die Zertifikatsprüfungen umgehen, indem du SSL Zertifikat Fehler prüfen auf der Registerkarte Erweitert in den Prüfobjekteinstellungen deaktivierst.

Der Statusbericht von Let‘s Encrypt zu diesem Problem ist unter https://letsencrypt.status.io/pages/incident/55957a99e800baa4470002da/608c9dd384a5cf052fc6ed24 zu finden.

Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies gemäß unserer Cookie-Richtlinien zu.