Benny16h ago

Die D-Trust hat mal eben beschlossen, dass von ihr ausgestellte Zertifikate nur noch bis kommenden Montag den 06.04.26 17 Uhr gültig sind.

Sportlich in Anbetracht des Feiertags. Ich stelle mich mal darauf ein, dass Dienstag noch nicht all zu viele Dienste wieder am Start sind. 😂 Alles natürlich eine ganz normale Maßnahme! Kein Grund zur Beunruhigung. Niemanden ist ein Schlüssel abhaben gekommen oder so! 😉

https://www.d-trust.net/de/loesungen/zertifikate

#infosec #tls #digitalisierung

Zertifikate | D-Trust GmbH

Digitale Zertifikate belegen die Identitäten von Websites, Personen und Maschinen. Sie verschlüsseln unsere Kommunikation und schützen uns so vor wirtschaftlichen Schäden durch Cyberangriffe.

Show threadSven14h ago
@benny es sollte begrüßt werden wenn eine CA ihre Verpflichtungen auch wenn es unpraktisch ist ernst nimmt und nicht mit wilden Theorien rumgezwinkert werden.
Gibt genug andere CAs die jetzt erstmal 2 Monate diskutieren würden dass ja nix passiert ist und die Regeln dann ja nicht gelten.
Show threadBenny14h ago

@HeNeArXn in der Ferienzeit, am Wochenende ne Warnung rauszuhausen, dass am nächsten Freiertag die Zertifikate für die halbe Bundes-IT ausläuft...

Ist jetzt nicht ganz meine Vorstellung von verantwortungsvoll.

Aber abgesehen davon, begrüße ich die Einhaltung von internationalen Standards.

Show threadSven13h ago
@benny 5-Tage-Frist ist Standard (in problematischeren Fällen sinds 24h!). "Unsere Kunden haben ihre Prozesse nicht im Griff damit umzugehen" sollte 2026 keine Ausrede mehr sein.
Show threadSven
@benny (Falls die Kommunikation an die Kunden tatsächlich erst heute rausging ist *das* der Teil den man ankreiden kann, das hätte parallel zum incident report passieren sollen.)
6:36pmWeb
Show threadBenny13h ago

@HeNeArXn da haben wir uns überschnitten. Die Meldung vom BSI scheint die erste mit Reichweite gewesen zu sein. Heise kam auch erst danach mit einer Meldung um die Ecke.

Vielleicht können wir uns treffen bei - mein gezwinkerter Satz war zuviel Seitenhieb und D-Trust hätte den Leuten ruhig ein paar Tage mehr Zeit einräumen können?

Show threadSven13h ago

@benny Formal geben die Regeln ihnen halt nur 5 Tage. Alles andere wäre schon wieder "CA tut so als würden die Regeln nicht gelten wenn es unbequem ist", und das haben wir echt oft genug. Hätte natürlich keiner gemerkt wenn sie darauf bis Dienstag gesessen hätten, aber wird ne slippery slope schnell.

Aber wie gesagt, alles unter der Annahme dass es auf direktem Weg Donnerstag auch schon kommuniziert wurde.

Show threadSven13h ago
@benny (und die 5 Tage gelten halt für alles und taugen nicht als Signal für "muss was schlimmes sein wenn sie es so eilig haben" (der "eilige" Fall sind 24h maximal vorgeschrieben). Aber selbst heise security macht den Fehler in ihrem Artikel....)
Show threadFalk Steiner12h ago
@HeNeArXn @benny Der Autor liest hier ja mit. Und hätte Stellungnahmen von D-Trust/BDR gerne berücksichtigt.
Show threadSven12h ago
@fsteiner Ich gehe mal davon aus du beziehst dich auch auf meinen Kommentar unter dem Artikel-Post? Da bezog ich mich spezifisch auf die Formulierng "warum trotz angeblich fehlender Auswirkungen auf die Sicherheit das ostermontagliche Zurückrufen nötig sei": Die Requirements sagen 5 Tage, auch wenn 0 Auswirkungen auf die Sicherheit. Revocation ist immer binnen ein paar Tagen, oder wenn ganz schlimm 24h.
Show threadFalk Steiner12h ago
@HeNeArXn jo. Aber auch dieses Datum erschließt sich aus
https://bugzilla.mozilla.org/show_bug.cgi?id=2029013
nicht.
2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

Show threadSven12h ago

@fsteiner hm, fair, 5 Tage nach dem Post wäre Dienstag, nicht Montag, was bedeuten würde dass sie die Entscheidung dass es ein Problem ist schon Mittwoch hatten wenn es Montag sein muss. (Die exakte Formulierung ist "The CA is made aware that the Certificate was not issued in accordance with these Requirements " für den Zeitpunkt wo die 5 Tage anfangen zu laufen)

Habt ihr es über das BSI gesehen oder Infos von einem betroffenen Admin bekommen wann genau es kommuniziert wurde?

Show threadFalk Steiner11h ago
@HeNeArXn ich habe es bei BSI erstmals wahrgenommen, ein Kollege hatte es da aber wohl schon auf dem Schirm.