Mastodawn

Seit wann läuft das eigentlich? Länger https://bugzilla.mozilla.org/show_bug.cgi?id=2023458#c6

2023458 - D-Trust: TLS Precertificates Exceeding the Maximum Validity Period Allowed by the TLS Baseline Requirements

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-03.

@bkastl das Ticket passt irgendwie nicht zur Panikmache des BSI.
Wenn das für<20 Zertifikate relevant war, und die Ursache laut Timeline gefixt wurde, warum dann jetzt noch diese Atombombe? 🤔

@bkastl zusätzlich reden Heise und BSI vom 15.03.2025, aber das Ticket vom 15.03.2026?

@DJGummikuh @bkastl Das andere im Artikel verlinkte Ticket ist das relevantere: Beim fixen des ersten und Review was da passiert ist ist ihnen aufgefallen dass ihre Prozesse unvollständig waren. Und sobald du als CA das entdeckt hast musst du binnen 5 Tagen alle betroffenen Zertifikate zurückziehen und ersetzen.

@DJGummikuh @bkastl Das Timing ist natürlich maximal unpraktisch, aber im Vergleich zu was andere CAs teils abziehen halte ich ihnen zu gute dass sie sich tatsächlich an die Regeln halten und die nicht ignorieren nur weils unbequem wäre.

@DJGummikuh @bkastl (Wobei 5 Tage ab Donnerstag ja Dienstag wäre, also haben sie entweder nen Tag gebraucht es zu veröffentlichen oder nochmal kürzer gemacht als zwingend verlangt, das wäre angesichts des eher theoretischen Problems bisschen übertrieben IMHO)

@HeNeArXn @bkastl ja gut aber seit wann? 15.03.2025 oder 2026? (bin nur mobil gerade, das hilft wohl nicht, aber bei 2025 wär bei mir Party, bei 2026 würde es mich faktisch nicht jucken)

@DJGummikuh @bkastl Alle Zertifikate ab 15.3.2025 haben das Problem.

@HeNeArXn @bkastl danke für die Klärung 👍

Falls mich wer fragt, ob das ein Sicherheitsproblem ist: Ja, aber nicht wegen ein paar non konformen Zertifikaten, sondern wegen der Kommunikations-Timeline drum herum.

Wenn du ein Betriebskontinuitäts-Problem züchten willst, dann machst du folgendes:

Problem wohl seit Mitte März kennen

17:42 am Donnerstag vor einem Feiertag Problem ankündigen. Fix aber nur ankündigen.

18:xx Fix kommunizieren - dann erst ist überhaupt handeln möglich

Zertifikate an Ostermontag (Feiertag) zurückziehen

https://bugzilla.mozilla.org/show_bug.cgi?id=2029013 (ht https://chaos.social/@HeNeArXn/116351206281632251)

Ach so: Impact sind quasi alle TLS Zertifikate von der D-Trust seit März 2025 (!). Also sehr viele D-Trust bis fast alle mit D-Trust TLS Zertifikaten.

“D-Trust has concluded that all TLS certificates issued on or after March 15, 2025 are non-compliant with the TLS Baseline Requirements. D-Trust will revoke all affected certificates within the next five days and will report on the progress of the revocation.”

2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

enachtpfoetchen6s0 1d ago

@bkastl heißt ich als nicht admin bekomme morgen abend auf seiten einen Banner angezeigt das was nicht geht und dienstag früh sollte alles wieder laufen?

@nachtpfoetchen falsch verstanden. Ja. Als User sagt dein Browser dir: Webseite xy ist unsicher. Dann sind admins erst mal busy, dann kommst du später wieder und es sieht normal aus

enachtpfoetchen6s0 1d ago

@bkastl oki! Danke für das update:3

jk 1d ago

@bkastl ja, das ist schon ein klein bissel unglücklich, wenn bei d-trust das nicht so kleingedruckte datum überlesen wurde 🙃 https://cabforum.org/working-groups/server/baseline-requirements/requirements/#4312-linting-of-to-be-signed-certificate-content

@bkastl Devils advocate theorie: Mitte März haben sie das erste Problem entdeckt. Im Laufe der Diskussion dazu kommt auf warum ihr Prozess das nicht vorher gemerkt hat. Sie starten Review dazu, das kommt ~2 Wochen später (Mittwoch) zurück mit "Unser Prozess war falsch". Im Prinzip triggert genau die Erkenntnis eine fixe 5 Tage deadline.
Hätte jemand sagen können "tun wir mal so als hätten wir das ersten nächsten dienstag gesehen"? Ja. Ist das was wir wollen das CAs tun? very slippery slope

@bkastl (das ich mal in Diskussionen die Bundesdruckerei verteidige hätte ich auch nicht erwartet :D)

@HeNeArXn konsequentes Handeln als CA ist gut. Allerdings heißt das auch: wenn schon vorher was sich belegbar andeutete und irgendwas später kommuniziert wurde, dann ist die nicht konsequente Kommunikation zu Beginn bereits das Problem.

TheTomas 1d ago

@bkastl Insgesamt Indizen für

a) fehlende technische Expertise (das mit 200 Tagen ist ja seit längerem bekannt)

b) falsche Prozesse, die das nicht abdecken

c) fehlende Aufsicht/ Review/ Governance, die das nicht aufdecken

d) schlechte Kommunikation

Und die Beteiligten wollen alle zertifiziert und auditiert sein. Ich würde sagen, da wird nicht gelebt, was man sich selbst und anderen versprochen hat. Ob es ein Postmortem oder Lessons Learned geben wird? Ich bezweifle es.

wrdlbrmpft 1d ago

@bkastl in meinem Dunstkreis: Amtsgerichte, Kammergericht, LaGeSo – Reaktion bisher: Null

egal ist ein Handkäs 1d ago

@bkastl Seit _der_ Geschichte <https://www.blzk.de/blzk/site.nsf/id/li_datenschutzvorfall_d-trust.html> wundert mich bei D(on't)-Trust nichts mehr. Ich würde dort nichts mehr einzukaufen (z.B. HBA).

Datenschutzvorfall bei D-Trust: Angriff auf Antragsportal für elektronische Signatur- und Siegelkarten | Bayerische Landeszahnärztekammer

Die D-Trust GmbH, ein Unternehmen der Bundesdruckerei-Gruppe, ist Ziel eines Angriffs auf das Antragsportal für Signatur- und Siegelkarten geworden.

scotty86 🇺🇦🕊️1d ago

@bkastl "Hintergrund der kurzfristigen Rückrufaktion ist offenbar ein Problem mit dem sogenannten Linting, also den automatischen Prüfprozessen.

Hier hatte sich im Nachgang zur Diskussion zu einer unzulässigen Präzertifikatsdauer herausgestellt, dass D-Trust die Branchenregeln für die Erstellung von Zertifikaten hier anders interpretiert hatte als das allgemeiner technischer Konsens innerhalb der Community ist."

Loool, was für ein Bullshit-Bingo ist das bitte. 🤣
Konsens der Community. 🤣

Thomas Fricke (he/his)1d ago

@bkastl

Ist es Ransomware?

Ist es eine DDOS Attacke?

Nein, ist die Bundesdruckerei 🙄!

Sie können übrigens RFC 8555, rücken das aber nur auf Anfrage heraus.

An handklöppelten TLS Zertifikaten verdienen sie mehr.