Falsche URL im Zertifikat: Website des CERT-Bund am Wochenende unerreichbar
Viele Browser lehnten die Verbindung wegen eines zurĂĽckgezogenen Zertifikats ab. Kurioser Grund: In einer Zertifikatserweiterung fehlte ein "s".
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Wer zwischen dem Abend des 3. Januar 2025 und der Mittagszeit am Montag, dem 6. Januar, den Warn- und Informationsdienst (WID) des CERT-Bund (Computer Emergency Response Team Bund) besuchen wollte, wurde oftmals vom eigenen Browser daran gehindert. Die Zertifizierungsstelle hatte das Zertifikat des von BSI und Telekom Security betriebenen Dienstes zurückgezogen. Der Grund: In einer speziellen Zertifikatserweiterung versteckten sich zwei "http"-URLs – das war nicht regelkonform.
Die Erweiterung namens "qcStatements" enthält die URLs der "PKI Disclosure Statements", im Falle der D-Trust CA ein etwa dreißigseitiges PDF mit Kontaktadressen, Arbeitsabläufen und relevanten Regelwerken. Die Erweiterung ist für normale TLS-Webseiten-Zertifikate nicht vorgeschrieben – wohl aber für QWACs, also qualifizierte Webseiten-Authentifizierungszertifikate. Und ein solches hatte der CERT-Bund-Dienst inne. Gemäß den Vergaberichtlinien für QWACs ist jedoch vorgeschrieben, dass die Disclosure Statements ausschließlich per HTTPS verzeichnet sein sollen. Und so führte ein fehlendes "https" im Zertifikat zu fehlerhaften HTTPS-Verbindungen auf der Website des CERT-Bund.
Videos by heise
Austausch der Zertifikate
Der Regelverstoß tauchte bei D-Trust ausgerechnet am Mittag des Silvestertags auf – am Neujahrstag entschied die CA dann, 25 Zertifikate für insgesamt etwa 60 Hostnamen zurückzuziehen und neu auszustellen. Wie ein Sprecher der Bundesdruckerei, Betreiberin des Dienstes D-Trust, heise security mitteilte, standen Austauschzertifikate am Mittag des 3. Januar bereit und die betroffenen Kunden waren informiert.
Das BSI widerspricht dieser Darstellung. Wie ein Sprecher der Behörde uns auf Anfrage mitteilte, "wurde das bislang gültige Zertifikat zurückgezogen, bevor das neu ausgestellte Zertifikat aktiviert werden konnte. [..] Darüber hinaus stand dem BSI das neue Zertifikat auch noch nicht in geeigneter Form zur Verfügung", so der BSI-Sprecher weiter.
Warum es dennoch zwei weitere Tage dauerte, bis die Webseiten des CERT-Bund wieder erreichbar waren, mochte der Bundesdruckerei-Sprecher nicht kommentieren, auch die Auswirkungen des zertifikatslosen Wochenendes können nur die Betreiber seriös einschätzen.
Am Vormittag des 10. Januar hatten BSI und Bundesdruckerei sich dann auf eine gemeinsame Linie geeinigt und den Vorfall aufgearbeitet. "Aufgrund eines kommunikativen Missverständnisses konnte der rechtzeitige Austausch des Zertifikats nicht erfolgen. BSI und D-Trust haben den Sachverhalt gemeinsam aufgearbeitet und werden die notwendigen Prozesse optimieren", so ein Bundesdruckerei-Sprecher gegenüber heise security.
Auch die Bundesnotarkammer und einige Subdomains des "Governikus eID-Service" erhielten am 3. Januar neue Zertifikate und spielten diese aber noch am selben Tag ein. FĂĽr ihre Nutzer dĂĽrfte die Tauschaktion nicht wahrnehmbar gewesen sein.
Zertifizierungsstellen werden bei Verstößen gegen die Richtlinien zur Zertifikatserstellung üblicherweise bald von den Verantwortlichen des "Mozilla CA Program", dem Chrome-Team oder anderen Teilnehmern des CA/Browser Forums, einem Zusammenschluss der CAs und der Browserhersteller, angezählt. Wer sich zu viele Vergehen leistet, riskiert einen Ausschluss seiner Zertifikate aus den Browsern und somit vom Markt. Die oft nur wenige Tage kurzen Fristen zur Behebung der Regelverstöße haben für eine CA im Jahr 2024 bereits gerichtliche Konsequenzen gehabt. Unter den Teppich kehren lassen sich derlei Fauxpas ohnehin nicht: Dank Certificate Transparency landet jedes Zertifikat in einer ewigen Datenbank.
Stellungnahme des BSI ergänzt.
Gemeinsame Stellungnahme des BSI und D-Trust ergänzt.
(cku)
