DigiCert muss Zertifikate zurückrufen, darf aber nicht

DigiCert, eine der größten Zertifizierungsstellen (Certificate Authority, CA) im Web, hat Zertifikate ohne regelkonforme Prüfung ausgestellt. Bei der Domain-Validierung wurde manchmal ein vorgeschriebener Unterstrich weggelassen. Was nach einer Lappalie klingt, ist durchaus wichtig. Der Unterstrich bildet eine Sicherheitsbarriere, die verhindert, dass es bei der Domain-Validierung zu Kollisionen mit Subdomains kommen kann. Das brauchen insbesondere Unternehmen, die ihren Kunden Zugriff auf DNS-Einträge von Subdomains geben. Ohne den Unterstrich könnten böswillige Kunden schlimmstenfalls an Zertifikate für die Hauptdomain kommen.

Aufgrund von internen Systemumstellungen hatte DigiCerts Software einen Bug und in manchen Fällen diesen Unterstrich weder vorgegeben noch kontrolliert. Das betraf immerhin gut 80.000 Zertifikate von knapp 7000 Kunden, die dadurch in extremen Zeitdruck gerieten: Nach den maßgeblichen Regeln des CA/Browser-Forums (CA/B), einem gemeinsamen Gremium von Browserherstellern und CAs, musste DigiCert diese Zertifikate innerhalb von 24 Stunden zurückrufen. Schlimmstenfalls entziehen die Browserhersteller der CA sonst das Vertrauen, was ihre Zertifikate weitgehend wertlos macht. Einige DigiCert-Kunden sahen sich allerdings außerstande, so schnell auf neue Zertifikate zu wechseln, und protestierten.