• IT-Karriere:
  • Services:

Microsoft, DHL und Volksbanken betroffen

Der Hintergrund für die Ausstellung dieser problematischen Zwischenzertifikate ist offenbar ein bestimmtes Verhalten einer Microsoft-Software zur Verwaltung von Zertifizierungsstellen. Das geht aus einem älteren Mailthread hervor, in dem allerdings auch eine alternative Möglichkeit beschrieben wird, dieses Problem zu lösen, die ohne ein solches Sicherheitsrisiko auskommt.

Stellenmarkt
  1. Hays AG, Bonn
  2. Der Polizeipräsident in Berlin, Berlin

Insgesamt betroffen sind fast 300 Zwischenzertifikate, von denen allerdings mehr als die Hälfte bereits zurückgezogen wurde. Doch die übrigen sind teilweise breit im Einsatz. Wir haben einen Scan durchgeführt, um zu testen, welche Webseiten davon betroffen sind. Bei einem Test der Alexa-Top-1-Million-Liste nutzten etwa 0,3 Prozent der Webseiten Zertifikate, die von den problematischen Zwischenzertifikaten ausgestellt wurden. Das Shellskript, das wir zum Testen verwendet haben, haben wir auf Github veröffentlicht.

Eine Reihe der betroffenen Zwischenzertifikate gehört Microsoft und die Firma setzt diese auch für ihre eigenen Webseiten ein, etwa für die Domains microsoft.com, bing.com und msn.com. Im deutschsprachigen Raum sind unter anderem die Webseiten von DHL und der Deutschen Post betroffen. Die Deutsche Post DHL Group besitzt ein eigenes TLS-Zwischenzertifikat, das von der Zertifizierungsstelle Globalsign ausgestellt wurde. Auch zahlreiche Webseiten von Volksbanken sind betroffen, diese nutzen ein Zwischenzertifikat der Firma Quovadis.

Änderungsfrist beträgt sieben Tage - theoretisch

Die fehlerhaften Zwischenzertifikate müssten sehr zeitnah zurückgezogen werden, genaugenommen sieben Tage, nachdem das Problem an die jeweils verantwortlichen Zertifizierungsstellen gemeldet wurde. Doch das dürfte nicht passieren. Bekannt ist das Problem seit dem 1. Juli, damit wäre die Frist bereits am 8. Juli, also morgen, abgelaufen.

Golem Akademie
  1. OpenShift Installation & Administration
    14.-16. Juni 2021, online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

Es war in der Vergangenheit schon häufiger so, dass in Fällen, in denen eine große Anzahl von Webseitenzertifikaten von einem derartigen Problem betroffen ist, diese Fristen nicht hart eingehalten wurden. Das wird gemeinhin auch akzeptiert und führt, wenn es gute Gründe dafür gibt, nicht zu weiteren Maßnahmen gegen die betroffenen Zertifizierungsstellen.

Beispielsweise hätte Let's Encrypt im März streng genommen mehrere Millionen Zertifikate aufgrund eines Fehlers bei der CAA-Prüfung zurückziehen müssen, entschied sich aber dagegen. Auch bei einem Vorfall 2019, in dem eine ganze Reihe von Zertifizierungsstellen Millionen von Zertifikaten mit Seriennummern mit zu wenig Entropie ausgestellt hatten, hat man nicht streng auf die Fristen gepocht.

Doch auch wenn die harte Frist von sieben Tagen vermutlich nicht eingehalten wird: Die entsprechenden Zwischenzertifikate müssen mittelfristig zurückgezogen werden und betroffene Webseiten, deren Zertifikate von diesen ausgestellt wurden, müssen diese so schnell wie möglich ersetzen. Neben dem von uns bereitgestellten Skript kann man auch mit dem TLS Certificate Health Checker der Firma Oh Dear prüfen, ob Zertifikate betroffen sind. Auch das Tool Hardenize führt einen entsprechenden Check durch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 379€ (Bestpreis!)
  2. (u. a. PC-Gehäuse bis -50% und Weekend Sale)
  3. (u. a. Surviving Mars - First Colony Edition für 5,29€, Monopoly - Nintendo Switch Download Code...
  4. 279,99€ (Vergleichspreis 332,19€)

phade 08. Jul 2020

Das Problem mit den public-private-keys bei https-Verbindungen ist also einfach zu lösen...


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /