Nachlese zum Ablauf der Verisign-Zertifikate
Der Ablauf einer Zertifikats-Sperrliste verlangsamte Windows-PCs und verhinderte das Starten von Applikationen.
Vergangene Woche führte der Ablauf zweier Verisign Intermediate-Zertifikate nicht nur zu Fehlermeldungen im Webbrowser bei der Verbindungsaufnahme mit einigen Web-Servern. Zusätzlich beschwerten sich auch Benutzer über eine Verlangsamung ihrer Windows-PCs. Wie sich herausstellte, versuchten einige Applikationen mit dem Server crl.verisign.com von Verisign Kontakt aufzunehmen, um eine Zertifikats-Sperrliste (Class3SoftarePublishers.crl) zu aktualisieren. Diese war nämlich neben den Intermediate-Zertifikaten ebenfalls abgelaufen. Offenbar versuchten sehr viele Systeme zeitgleich eine neue Liste zu laden, weshalb Verisigns Server in der Flut der Anfragen unterging. Downloads schlugen fehl oder dauerten sehr lange. Verisign hat dazu eine Stellungnahme veröffentlicht.
Meldungen von Lesern zufolge versagten deshalb, neben anderen Applikationen, teilweise Word und Excel ihren Dienst. Office prüft mit Zertifikaten unter anderem die Vertrauenswürdigkeit digital signierter Makros. Interessanterweise hat Symantec dazu ein Advisory veröffentlicht, in dem vorgeschlagen wird, die Prüfung von Zertifikaten mittels Sperrliste auszuschalten (Optionen "Auf zurückgezogene Serverzertifikate überprüfen", "Auf zurückgezogene Zertifikate von Herausgebern prüfen"). Dass ein Hersteller von IT-Sicherheitsprodukten empfiehlt, nicht zu überprüfen, ob ein Zertifikat noch gültig ist, dürfte bei einigen Kunden wohl die Alarmglocken schrillen lassen.
Nebenbei demonstriert dieses Schaustück einmal mehr, wie stark die Verfügbarkeit von Diensten und Applikationen von einem einzelnen Anbieter abhängt. Insbesondere zeigt sich hier der wunde Punkt öffentlicher Public-Key-Infrastrukturen. Die Nicht-Verfügbarkeit der Sperrlisten und der Ablauf der Zertifikate hat für einige Verwirrung gesorgt -- auch wenn schon lange vorher klar war, dass diese am 7. Januar 2004 ablaufen.
Siehe dazu auch: (dab)
- Microsoft Word and Excel will not start von Symantec
- VeriSign Update on Certificate Revocation List Expiration von Verisign
- Verisign-Zertifikate abgelaufen auf heise Security