DigiCert: Kunde will Zertifikate später tauschen und wehrt sich vor Gericht

Beim Widerruf zehntausender digitaler Zertifikate steht das ausstellende Unternehmen DigiCert vor unerwarteten Schwierigkeiten. Nachdem die CA (Certificate Authority) Anfang der Woche begonnen hatte, etwa 83.000 Zertifikate wegen eines Formfehlers zurückzuziehen und neu auszustellen, geriet sie unter Druck ihrer Kunden. Verschiedene Betreiber kritischer Infrastrukturen opponierten – einer erwirkte gar eine einstweilige Verfügung gegen DigiCert. Mit 20 Millionen derzeit gültigen Zertifikaten ist das Unternehmen die drittgrößte CA weltweit. Sie stellt digitale Zertifikate für Webseiten oder Software aus und ist in den großen Browsern als vertrauenswürdig markiert.

Doch was war passiert? Mehrere Monate lang fehlten den zufälligen DNS-Einträgen, mit denen Domainbetreiber ihre Eigentümerschaft gegenüber der CA nachweisen (Domain Validation), die notwendigen beginnenden Unterstriche "_". Zertifikate für die derart verifizierten Domains sind nicht regelkonform – DigiCert blieb keine Wahl, als 6.807 Kunden zu zwingen, insgesamt 83.267 Zertifikate binnen 24 Stunden neu auszustellen.

Denen gefiel das überhaupt nicht. Insbesondere Betreiber kritischer Infrastrukturen sahen sich schlicht außerstande, ihre Zertifikate binnen Tagesfrist auszutauschen, ohne Ausfälle in Kauf zu nehmen. Daher lenkte DigiCert nach Rücksprache mit Browserherstellern ein und verlängerte die Frist bis Samstag, den 3. August, 19:30 Uhr UTC (21:30 MESZ). Nur Unternehmen und Organisationen, die diese Verlängerung schriftlich beantragten, kamen jedoch in den Genuss des Aufschubs, die Antragsfrist ist mittlerweile abgelaufen.

Auch deutsche Kunden sind betroffen: Wie heise security aus dem Umfeld eines großen deutschen Telekommunikationsunternehmens erfuhr, verdirbt die Hau-Ruck-Aktion selbst nach der Fristverlängerung dessen Administratoren das Wochenende. Es seien für den Sonnabend Sonderschichten angeordnet, um rechtzeitig mehrere Tausend Zertifikate zu tauschen.

Einem großen Digicert-Kunden, Alegeus Technologies, ging die Fristverlängerung nicht weit genug. Das Unternehmen aus der Gesundheitsbranche bietet Portale zur Verwaltung von Arbeitnehmerleistungen für US-Unternehmen an und arbeitet seit mehreren Jahren mit DigiCert zusammen. Alegeus verklagte am vergangenen Dienstag, den 30. Juli, die CA vor einem Bezirksgericht im US-Bundesstaat Utah wegen Vertragsbruchs. Durch die unerwarteten Revocations (Rückziehungen) habe DigiCert gegen das "Master Service Agreement" verstoßen. Gleichzeitig ging Alegeus nun noch einen Schritt weiter: Das Unternehmen erwirkte eine einstweilige Verfügung, die den Zertifikatstausch um bis zu sieben Tage aufschob. Alegeus begründete diesen Schritt mit dem unzumutbaren Aufwand für sich und seine Kunden.

Sieben Tage Aufschub per Gerichtsverfügung

Hinter den Kulissen begannen dann offenbar intensive Verhandlungen zwischen Alegeus, DigiCert und dem CA/Browser Forum, dessen Regelwerke bindend für CA-Betreiber sind. Am 1. August verkündete der Alegeus-Rechtsbeistand dann dem Gericht eine vorläufige Einigung: Man gebe sich mit einem siebentägigen Aufschub zufrieden und werde in diesem Zeitraum alle Kunden-Domains neu zertifizieren. Eine ursprünglich für Anfang nächster Woche anberaumte Anhörung sei somit hinfällig.

Was sagt das CA/Browser Forum?

Das System kommerzieller Web-CAs ist derzeit erneut in den Fokus geraten. Google als größter Browserhersteller zog kürzlich die Daumenschrauben an und wirft bald zwei CAs wegen fortgesetzter Regelverstöße aus dem Chrome-Browser. Das rigide Vorgehen in Mountain View dürfte DigiCert lebhaft im Gedächtnis gewesen sein, als ihnen ihr Unterstrich-Problem auffiel. Um sich nicht eigene Probleme mit Google und dem Rest des CA/Browser Forums (CA/B) – einem Zusammenschluss der großen Browserhersteller und Certificate Authorities – einzuhandeln, hatte die CA die Neuausstellung als geringeres Übel betrachtet und durchgezogen.

Vertreter des CA/B haben sich bislang nicht zu der gerichtlich angeordneten, aber nicht regelkonformen Verlängerung der Frist geäußert. Eine Anfrage von heise security beim CA/B-Vorsitzenden Dimitris Zacharopoulos hatte dieser bis zum Freitagmittag kurzfristig nicht beantwortet.

Der Fall dürfte jedoch Stirnrunzeln bei CAs und Browserherstellern auslösen, denn das US-Gericht betrachtete hier eine Zertifikats-Revocation aus technischen Gründen als Vertragsbruch durch die CA. Macht diese Rechtsauffassung Schule, so dürften Zertifizierungsstellen künftig größeren Risiken in ihrem Geschäftsbetrieb ausgesetzt sein: Jede Revocation könnte zu einer Klage der betroffenen Kunden führen und gleichzeitig auch das CA/B auf den Plan rufen.

(cku)