Jetzt handeln! DigiCert erklärt zehntausende TLS-Zertifikate für ungültig

Da Richtlinien nicht korrekt eingehalten wurden, entzieht DigiCert TLS-Zertifikaten von etwa Thawte & Co. das Vertrauen. Admins müssen die Zertifikate ersetzen.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Jetzt handeln: DigiCert erklärt zehntausende von TLS-Zertifikaten für ungültig

(Bild: zffoto / Shutterstock.com)

Update
Lesezeit: 2 Min.

Die Zertifizierungsstelle (CA) von TLS-Zertifikaten DigiCert widerruft am morgigen Samstag um 20 Uhr zehntausende Intermediate-Zertifikate. Die CA hat diese bereits kostenlos neu ausgestellt. Die Umstellung erfolgt aber nicht automatisch.

TLS-Zertifikate stellen sicher, dass Webbrowser und Internetseiten verschlüsselt miteinander kommunizieren. Intermediate-Zertifikate werden stets von seriösen Partnern einer CA ausgestellt. Besucht man etwa eine Website mit einem Zertifikat vom DigiCert-Partner Thawte, verfolgt der Webbrowser die Zertifikatskette zurück und landet am Ende beim vertrauenswürdigen Root-Zertifikat von DigiCert.

Der Grund für den Widerruf ist, dass die betroffenen Zertifikate bei der letzten Sicherheitsprüfung (Audit) durch WebTrust nicht beachtet wurden, schreibt DigiCert in einem Beitrag. Das verstößt gegen die Richtlinien von Extended-Validation-Zertifikaten (EV). Das Hauptmerkmal von EV-Zertifikaten ist, dass sie eine strengere Überprüfung des Antragstellers einfordern.

Damit die Erreichbarkeit von Websites sichergestellt ist, müssen Admins jetzt handeln und die aktualisierten Zertifikate auf ihren Web-Servern einbinden. Dafür müssen sie sich auf den Servern einloggen und in den Einstellungen nach den Punkten "Reissue" oder "Replace" Ausschau halten. Medienberichten zufolge geht es um zehntausende Zertifikate. Konkret betroffen sind Kunden, die Zertifikatsketten von CertCentral, GeoTrust, Thawte oder Symantec nutzen.

Das kommt ziemlich überraschend und setzt Admins unter Zeitdruck. DigiCert hält sich aber an die für einen solchen Fall existierende Fünf-Tage-Regel, die das CA/Browser Forum vorgibt. Dabei handelt es sich um einen Zusammenschluss von CAs und Webbrowser-Herstellern wie Mozilla. Eigenen Angaben zufolge hat DigiCert den Widerruf am vergangenen Montag dieser Woche beschlossen.

Um folgende Intermediate-TLS-Zertifikate auf EV-Basis geht es. Auf DV- oder OV-Basis ausgestellte Zertifikate sind nicht betroffen.

  • GeoTrust TLS RSA CA G1
  • Thawte TLS RSA CA G1
  • Secure Site CA
  • NCC Group Secure Server CA G2
  • TERENA SSL High Assurance CA 3

Das sind die neu ausgestellten Zertifikate:

  • DigiCert EV RSA CA G2
  • GeoTrust EV RSA CA G2
  • Thawte EV RSA CA G2

[UPDATE, 14.07.2020 09:00 Uhr]

Digicert hat die betroffenen Zertifikate angepasst. Fließtext aktualisiert. (des)