Mastodawn

Keymomentum 1d ago

Manuel 'HonkHase' Atug

"Die D-Trust GmbH [gehört zur Bundesdruckerei] tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar!"
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/2026/Austausch_Zertifikate_260404.html

Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH

Im Zuge kurzfristig durch D-Trust ausgetauschter Zertifikate kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen.

Bundesamt für Sicherheit in der Informationstechnik

Alles klar außer Name 2d ago

Vielleicht sollte sich das BSI eine verlässliche CA suchen. Die jetzt ausgespielten Chain für https://www.bsi.bund.de ist bei Apple, Android, Java nicht trusted. Uff.

Und notwendig wurde die ganze Aktion, weil D-Trust kein ordentliches Linting der zu signierenden Zertifikate implementiert hatte und dadurch auch die Regeln für die maximale Gültigkeitsdauer gebrochen hatte.

https://bugzilla.mozilla.org/show_bug.cgi?id=2029013

Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland.

Bundesamt für Sicherheit in der Informationstechnik

Alles klar außer Name 1d ago

Ah OK, da scheint das @bsi das Certificate “D-TRUST BR Root CA 2 2023” nicht in der Chain mit auszuspielen, was aber benötigt wird, da es nicht in allen aktuellen Trust Stores enthalten ist.

@ulid000 also bei mir zeigt der FF (unter Archlinux)

Alles klar außer Name 1d ago

@asltf Ist jetzt auch repariert bereits.

Alles klar außer Name 1d ago

Ist jetzt gefixt.

Lothar Krauß 1d ago

@HonkHase Na, mal schauen, ob z.B. bei elster.de das Zertifikat noch über Ostern ausgetauscht wird 😉

Andreas Tengicki 1d ago

@HonkHase Wenn man sieht wie Let's encrypt funktioniert und was das für ein Schmerz ist, wenn man mit Zertifikaten der MDM zu tun hat.
Ich weiss nicht wofür und warum manche Software/Beraterbuden da ihr Geld bekommen.

Jakob Boos 1d ago

@HonkHase
Wann hat die BDR das denn den Eigentümern der Zertifikate mitgeteilt?

Christian Rickert 1d ago

Das dauert, so ein Zertifikatserneuerungsbewilligungsantrag.

DJGummikuh 1d ago

@HonkHase wow was für ein Fuckup. Ein Haufen unserer Kunden hat D-Trust in ihren Stores, das word lustig

DJGummikuh 1d ago

@HonkHase glücklicherweise dürfen wir aber aus Sicherheitsgründen die CRL nicht abrufen, d.h. vermutlich werden viele Kunden es erstmal nicht mitkriegen 🙈🤷

@DJGummikuh @HonkHase Solange es die Kunden nicht prüfen, und CRL checks sind tatsächlich selten. Nur dürften die Zertifikate alle noch OCSP definieren, was eher passiert, je nach Browser, weil es ein Datenschutzproblem ist.

DJGummikuh 1d ago

@waldi @HonkHase aufgrund sicherheitstechnischen Ausdruckstanzes und Berateroptimierter IT bei vielen Kunden fällt dem generellen Outgoing Connections Block sicherheitshalber auch der Zugriff auf die CRL Endpunkte zum Opfer 🤷

BjoernAusGE 1d ago

@HonkHase wenn das doch nicht mit einem Sicherheitsvorfall bzw Cyberangriff zu tun hat: warum muss das dann so schnell über ein Feiertagswochenende passieren

@[email protected] Also wenn ich das richtig verstehe, hat D-Trust Bickmost gebaut, indem sie 19 Zertifikate bestätigt hat, die länger als 200 tage gültig sind. Aber auch 19 kunden von D-Trust haben Bickmost gebaut, indem sie ungültige Zertifikate, die länger als 200 tage gültig sind, angefordert haben. Was ich nicht verstehe, warum diese 19 zerifikate nicht entweder sofort wiederufen wurden, oder bis zum Dienstag gewartet wird, sondern dieses auf einen hohen Feiertag gelegt wird? Rache an den Leuten, die die fehlerhaften zertifikate bestellt haben?