Microsoft, DHL und Volksbanken betroffen

Der Hintergrund für die Ausstellung dieser problematischen Zwischenzertifikate ist offenbar ein bestimmtes Verhalten einer Microsoft-Software zur Verwaltung von Zertifizierungsstellen. Das geht aus einem älteren Mailthread hervor, in dem allerdings auch eine alternative Möglichkeit beschrieben wird, dieses Problem zu lösen, die ohne ein solches Sicherheitsrisiko auskommt.

Stellenmarkt

1. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
2. Compador Dienstleistungs GmbH, Berlin

Insgesamt betroffen sind fast 300 Zwischenzertifikate, von denen allerdings mehr als die Hälfte bereits zurückgezogen wurde. Doch die übrigen sind teilweise breit im Einsatz. Wir haben einen Scan durchgeführt, um zu testen, welche Webseiten davon betroffen sind. Bei einem Test der Alexa-Top-1-Million-Liste nutzten etwa 0,3 Prozent der Webseiten Zertifikate, die von den problematischen Zwischenzertifikaten ausgestellt wurden. Das Shellskript, das wir zum Testen verwendet haben, haben wir auf Github veröffentlicht.

Eine Reihe der betroffenen Zwischenzertifikate gehört Microsoft und die Firma setzt diese auch für ihre eigenen Webseiten ein, etwa für die Domains microsoft.com, bing.com und msn.com. Im deutschsprachigen Raum sind unter anderem die Webseiten von DHL und der Deutschen Post betroffen. Die Deutsche Post DHL Group besitzt ein eigenes TLS-Zwischenzertifikat, das von der Zertifizierungsstelle Globalsign ausgestellt wurde. Auch zahlreiche Webseiten von Volksbanken sind betroffen, diese nutzen ein Zwischenzertifikat der Firma Quovadis.

Änderungsfrist beträgt sieben Tage - theoretisch

Die fehlerhaften Zwischenzertifikate müssten sehr zeitnah zurückgezogen werden, genaugenommen sieben Tage, nachdem das Problem an die jeweils verantwortlichen Zertifizierungsstellen gemeldet wurde. Doch das dürfte nicht passieren. Bekannt ist das Problem seit dem 1. Juli, damit wäre die Frist bereits am 8. Juli, also morgen, abgelaufen.

Es war in der Vergangenheit schon häufiger so, dass in Fällen, in denen eine große Anzahl von Webseitenzertifikaten von einem derartigen Problem betroffen ist, diese Fristen nicht hart eingehalten wurden. Das wird gemeinhin auch akzeptiert und führt, wenn es gute Gründe dafür gibt, nicht zu weiteren Maßnahmen gegen die betroffenen Zertifizierungsstellen.

Beispielsweise hätte Let's Encrypt im März streng genommen mehrere Millionen Zertifikate aufgrund eines Fehlers bei der CAA-Prüfung zurückziehen müssen, entschied sich aber dagegen. Auch bei einem Vorfall 2019, in dem eine ganze Reihe von Zertifizierungsstellen Millionen von Zertifikaten mit Seriennummern mit zu wenig Entropie ausgestellt hatten, hat man nicht streng auf die Fristen gepocht.

Doch auch wenn die harte Frist von sieben Tagen vermutlich nicht eingehalten wird: Die entsprechenden Zwischenzertifikate müssen mittelfristig zurückgezogen werden und betroffene Webseiten, deren Zertifikate von diesen ausgestellt wurden, müssen diese so schnell wie möglich ersetzen. Neben dem von uns bereitgestellten Skript kann man auch mit dem TLS Certificate Health Checker der Firma Oh Dear prüfen, ob Zertifikate betroffen sind. Auch das Tool Hardenize führt einen entsprechenden Check durch.