Microsoft, DHL und Volksbanken betroffen

Der Hintergrund für die Ausstellung dieser problematischen Zwischenzertifikate ist offenbar ein bestimmtes Verhalten einer Microsoft-Software zur Verwaltung von Zertifizierungsstellen. Das geht aus einem älteren Mailthread hervor, in dem allerdings auch eine alternative Möglichkeit beschrieben wird, dieses Problem zu lösen, die ohne ein solches Sicherheitsrisiko auskommt.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    Königsteiner Services GmbH, Stuttgart
  2. Java Software Tester (m/f/d)
    IFCO Management GmbH, Munich, Gmunden (Austria)
Detailsuche

Insgesamt betroffen sind fast 300 Zwischenzertifikate, von denen allerdings mehr als die Hälfte bereits zurückgezogen wurde. Doch die übrigen sind teilweise breit im Einsatz. Wir haben einen Scan durchgeführt, um zu testen, welche Webseiten davon betroffen sind. Bei einem Test der Alexa-Top-1-Million-Liste nutzten etwa 0,3 Prozent der Webseiten Zertifikate, die von den problematischen Zwischenzertifikaten ausgestellt wurden. Das Shellskript, das wir zum Testen verwendet haben, haben wir auf Github veröffentlicht.

Eine Reihe der betroffenen Zwischenzertifikate gehört Microsoft und die Firma setzt diese auch für ihre eigenen Webseiten ein, etwa für die Domains microsoft.com, bing.com und msn.com. Im deutschsprachigen Raum sind unter anderem die Webseiten von DHL und der Deutschen Post betroffen. Die Deutsche Post DHL Group besitzt ein eigenes TLS-Zwischenzertifikat, das von der Zertifizierungsstelle Globalsign ausgestellt wurde. Auch zahlreiche Webseiten von Volksbanken sind betroffen, diese nutzen ein Zwischenzertifikat der Firma Quovadis.

Änderungsfrist beträgt sieben Tage - theoretisch

Die fehlerhaften Zwischenzertifikate müssten sehr zeitnah zurückgezogen werden, genaugenommen sieben Tage, nachdem das Problem an die jeweils verantwortlichen Zertifizierungsstellen gemeldet wurde. Doch das dürfte nicht passieren. Bekannt ist das Problem seit dem 1. Juli, damit wäre die Frist bereits am 8. Juli, also morgen, abgelaufen.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Advanced Python – Fortgeschrittene Programmierthemen: virtueller Zwei-Tage-Workshop
    27.–28. Januar 2022, Virtuell
Weitere IT-Trainings

Es war in der Vergangenheit schon häufiger so, dass in Fällen, in denen eine große Anzahl von Webseitenzertifikaten von einem derartigen Problem betroffen ist, diese Fristen nicht hart eingehalten wurden. Das wird gemeinhin auch akzeptiert und führt, wenn es gute Gründe dafür gibt, nicht zu weiteren Maßnahmen gegen die betroffenen Zertifizierungsstellen.

Beispielsweise hätte Let's Encrypt im März streng genommen mehrere Millionen Zertifikate aufgrund eines Fehlers bei der CAA-Prüfung zurückziehen müssen, entschied sich aber dagegen. Auch bei einem Vorfall 2019, in dem eine ganze Reihe von Zertifizierungsstellen Millionen von Zertifikaten mit Seriennummern mit zu wenig Entropie ausgestellt hatten, hat man nicht streng auf die Fristen gepocht.

Doch auch wenn die harte Frist von sieben Tagen vermutlich nicht eingehalten wird: Die entsprechenden Zwischenzertifikate müssen mittelfristig zurückgezogen werden und betroffene Webseiten, deren Zertifikate von diesen ausgestellt wurden, müssen diese so schnell wie möglich ersetzen. Neben dem von uns bereitgestellten Skript kann man auch mit dem TLS Certificate Health Checker der Firma Oh Dear prüfen, ob Zertifikate betroffen sind. Auch das Tool Hardenize führt einen entsprechenden Check durch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /