Wer zwischen dem Abend des 3. Januar 2025 und der Mittagszeit am Montag, dem 6. Januar, den Warn- und Informationsdienst (WID) des CERT-Bund (Computer Emergency Response Team Bund) besuchen wollte, wurde oftmals vom eigenen Browser daran gehindert. Die Zertifizierungsstelle hatte das Zertifikat des von BSI und Telekom Security betriebenen Dienstes zurückgezogen. Der Grund: In einer speziellen Zertifikatserweiterung versteckten sich zwei "http"-URLs – das war nicht regelkonform.
Anzeige
Die Erweiterung namens "qcStatements" enthält die URLs der "PKI Disclosure Statements", im Falle der D-Trust CA ein etwa dreißigseitiges PDF mit Kontaktadressen, Arbeitsabläufen und relevanten Regelwerken. Die Erweiterung ist für normale TLS-Webseiten-Zertifikate nicht vorgeschrieben – wohl aber für QWACs, also qualifizierte Webseiten-Authentifizierungszertifikate. Und ein solches hatte der CERT-Bund-Dienst inne. Gemäß den Vergaberichtlinien für QWACs ist jedoch vorgeschrieben, dass die Disclosure Statements ausschließlich per HTTPS verzeichnet sein sollen. Und so führte ein fehlendes "https" im Zertifikat zu fehlerhaften HTTPS-Verbindungen auf der Website des CERT-Bund.
Der Regelverstoß tauchte bei D-Trust ausgerechnet am Mittag des Silvestertags auf – am Neujahrstag entschied die CA dann, 25 Zertifikate für insgesamt etwa 60 Hostnamen zurückzuziehen und neu auszustellen. Wie ein Sprecher der Bundesdruckerei, Betreiberin des Dienstes D-Trust, heise security mitteilte, standen Austauschzertifikate am Mittag des 3. Januar bereit und die betroffenen Kunden waren informiert.
Warum es dennoch zwei weitere Tage dauerte, bis die Webseiten des CERT-Bund wieder erreichbar waren, mochte der Bundesdruckerei-Sprecher nicht kommentieren, auch die Auswirkungen des zertifikatslosen Wochenendes können nur die Betreiber seriös einschätzen.
Auch die Bundesnotarkammer und einige Subdomains des "Governikus eID-Service" erhielten am 3. Januar neue Zertifikate und spielten diese aber noch am selben Tag ein. Für ihre Nutzer dürfte die Tauschaktion nicht wahrnehmbar gewesen sein.
Zertifizierungsstellen werden bei Verstößen gegen die Richtlinien zur Zertifikatserstellung üblicherweise bald von den Verantwortlichen des "Mozilla CA Program", dem Chrome-Team oder anderen Teilnehmern des CA/Browser Forums, einem Zusammenschluss der CAs und der Browserhersteller, angezählt. Wer sich zu viele Vergehen leistet, riskiert einen Ausschluss seiner Zertifikate aus den Browsern und somit vom Markt. Die oft nur wenige Tage kurzen Fristen zur Behebung der Regelverstöße haben für eine CA im Jahr 2024 bereits gerichtliche Konsequenzen gehabt. Unter den Teppich kehren lassen sich derlei Fauxpas ohnehin nicht: Dank Certificate Transparency landet jedes Zertifikat in einer ewigen Datenbank.
(
Kommentare