Bereits Anfang des Jahres hatte Let's Encrypt angekündigt, keine Benachrichtigungsmails mehr verschicken zu wollen, wenn alte Zertifikate ablaufen. Nun erinnert das Projekt daran, dass es die Funktion zum 4. Juni eingestellt hat.
Das schreiben Let's-Encrypt-Beteiligte in einem News-Beitrag. Dort erörtern sie nochmals die Gründe, weshalb sie diesen Dienst nicht mehr anbieten. In den vergangenen zehn Jahren habe demnach eine zunehmende Zahl an Nutzern verlässliche Automatisierung für die Zertifikatserneuerung eingerichtet. Das Bereitstellen von Auslauf-Benachrichtigungen bedeute, dass Let's Encrypt Millionen an E-Mail-Adressen in Verbindung mit den Ausgabedaten vorhalten müssten; da die Organisation Privatsphäre wichtig nehme, sei ihr das Auflösen dieser Anforderung wichtig.
Zudem koste das Ausliefern von Zertifikatsablaufmails tausende US-Dollar jedes Jahr. Geld, das Let's Encrypt lieber für andere Aspekte der Infrastruktur aufwenden würde. Als letztes Argument nennt Let's Encrypt, dass der Mailversand der IT-Infrastruktur zusätzliche Komplexität hinzufüge, was Zeit und Aufmerksamkeit für die Verwaltung beanspruche und die Wahrscheinlichkeit erhöhe, dass Fehler passieren. Auf lange Sicht müsse die Organisation die allgemeine Komplexität einhegen. Insbesondere mit Hinblick auf das Hinzufügen neuer Dienst-Komponenten müssten daher alte Systemkomponenten gehen, die sich nicht länger rechtfertigen lassen.
Let's Encrypt weist zudem wieder darauf hin, dass es Drittanbieterdienste gebe, die die Organisation empfehle. Etwa Red Sift Certificates Lite, ehemals unter dem Namen Hardenize bekannt, liefere einen Überwachungsdienst, der kostenlos Ablaufmails für bis zu 250 Zertifikate umfasse.
Der Zertifikatsdienst Let's Encrpyt hat nun die E-Mai-Adressen gelöscht, die in der CA-Datenbank (Certificate Authority) in Verbindung mit den Ausgabe-Daten stehen. E-Mail-Adressen, die zum Abonnieren von Mailinglisten und anderen Systemen dienen, sind davon ausgenommen. Künftig speichert Let's Encrypt E-Mail-Adressen nicht mehr, die über die ACME API eintreffen; stattdessen landen die auf der Internet Security Research Group (ISRG)-Mailingliste, ohne mit etwaigen Kontodaten verknüpft zu sein. Sofern die E-Mail-Adresse bislang unbekannt ist, versendet der Dienst eine Onboarding-Mail. ISRG ist die Non-Profit-Mutter-Organisation von Let's Encrypt.
Angekündigt hatte das Projekt bereits im Februar dieses Jahres, die Funktion zum 4. Juni nicht mehr bereitstellen zu wollen. Nutzerinnen und Nutzer des Dienstes wurden darüber unter anderem mittels E-Mail informiert.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare