GlobalSign annulliert versehentlich Zertifikate von vielen Webseiten
Aktuell warnen einige Webbrowser davor, dass Verbindungen zu Webseiten wie etwa Wikipedia nicht mehr gesichert sind, da mit dem Zertifikat der Seite etwas nicht stimmt.
(Bild: Screenshot)
Die Zertifizierungsstelle (CA) GlobalSign hat eigenen Angaben zufolge unbeabsichtigt Zertifikate von Webseiten kaputt gemacht. Das hat zur Folge, dass einige Webbrowser mit einer Sicherheits-Warnung darauf hinweisen, dass die Verbindung zu Webseiten wie Dropbox und Wikipedia nicht mehr gesichert ist. Im schlimmsten Fall lässt sich eine betroffene Seite gar nicht öffnen.
Ursache erkannt, Probleme können andauern
Dafür soll der CA zufolge ein Fehler beim Aktualisieren eines Cross-Zertifikates durch das Online Certificate Status Protcol (OCSP) verantwortlich sein, der letztlich die Zertifikaten zugrunde liegende Vertrauenskette kaputt gemacht hat. Das geht aus einem Schreiben an betroffene Webseiten-Betreiber hervor, das heise Security vorliegt. Aktuell sei der Fehler ausgebessert, Besucher von betroffenen Webseiten könnten aber auch in den kommenden Tagen noch auf Warnmeldungen stoßen.
GlobalSign hat das betroffene Cross-Zertifikat zwar bereits aus seiner OCSP-Datenbank entfernt, doch das Zertifikat kann sich noch im Zertifikatsspeicher eines Betriebssystems befinden, auf den etwa einige Webbrowser zugreifen. Das Problem sollte sich aber innerhalb der nächsten vier Tage von selbst lösen, da die Daten im Cache dann ablaufen und mit einem von der CA neu ausgestellten Root-Zertifikat ersetzt werden, versichert GlobalSign.
(Bild: Screenshot)
Was tun, wenn ich betroffen bin?
Zeigt der Webbrowser etwa beim Öffnen der Wikipedia-Seite keine Sicherheits-Warnung an (siehe Bild), kann man beruhigt weiter surfen. Taucht so eine Warnung auf und nutzt man etwa Chrome, kann man auf "Erweitert" klicken, um die Warnung zu überspringen. In diesem Fall ist die Transportverschlüsselung zwar noch aktiv, die Identität der Webseite aber nicht mehr gesichert. Das sollte man also nicht auf Webseiten machen, denen man private Daten mitteilt.
Alternativ kann das Löschen des Zertifikatsspeicher von Windows und OS X Abhilfe schaffen. Wie das geht, beschreibt GlobalSign kompakt auf einer Hilfe-Seite. (des)
