Web-Verschlüsselung: DigiCert muss wegen eines Bugs TLS-Zertifikate widerrufen

Weil die Zertifizierungstelle (CA) für TLS-Zertifikate DigiCert einen Fehler bei der Validierung von Zertifikaten gemacht hat, müssen sie bestimmten Zertifikaten die Gültigkeit entziehen. Betroffene Web-Admins müssen diese neu erstellen.

TLS-Zertifikate verschlüsseln Verbindungen im Internet und sollen sicherstellen, dass Kriminelle etwa keine Bankdaten abfangen. Um ein Zertifikat auf einer Website zu verankern, muss der Betreiber der Seite beweisen, dass es seine Website ist. Das klappt beispielsweise über Domain Control Verification (DCV). Eine Methode dafür ist, dass der Antragsteller einen Zufallswert im DNS-CNAME-Eintrag hinzufügt. Das prüft DigiCert dann mit einer DNS-Abfrage.

Bug bei der Validierung

Wie das im Detail abläuft, legt das CA/Browser Forum (CABF) fest. Im Fall von CNAME muss dem Zufalllswert ein Unterstrich vorausgehen, damit es nicht zu einer Kollision mit einem tatsächlichen Domiannamen kommt. Das ist zwar sehr unwahrscheinlich, aber trotzdem eine Vorgabe.

DigiCert gibt in einer Stellungnahme an, dass sich bei einer Umstellung im August 2019 ein Fehler eingeschlichen hat und kein Unterstrich erzeugt wird. Darauf stieß die CA eigenen Angaben zufolge erst kürzlich im Zuge eines Supportfalls. Eine korrekte CNAME-Validierung für die Domain foo.example.com sieht so aus:

_randomValue.foo.example.com CNAME dcv.digicert.com

DigiCert gibt an, den Fehler mittlerweile korrigiert zu haben. Dafür haben sie unter anderem ihre Zufallszahlengeneratoren überprüft. Ihnen zufolge sind 0,4 Prozent der über diese Methode validierten Zertifikate von dem Fehler betroffen. Wenn Web-Admins sich in ihrem CertCentral-Account einloggen, werden sie auf widerrufene Zertifikate hingewiesen und müssen diese neu ausstellen.

(des)