Bianca Kastl1d ago
Ostern. Admins finden ein paar bald nicht mehr funktionierende Zertifikate đŸŁđŸ€·â€â™€ïž https://www.heise.de/news/Fieses-Osterei-D-Trust-verlangt-Zertifikatstausch-bis-Ostermontag-11245930.html
Admins mĂŒssen D-Trust-Zertifikate tauschen – bis Ostermontag

Die Bundesdruckerei-Tochter D-Trust beschert Administatoren kurzfristige OstereinsĂ€tze: Ihre TLS-Zertifikate mĂŒssen bis Ostermontag 17 Uhr getauscht sein.

heise online
Show threadBianca Kastl

Falls mich wer fragt, ob das ein Sicherheitsproblem ist: Ja, aber nicht wegen ein paar non konformen Zertifikaten, sondern wegen der Kommunikations-Timeline drum herum.

Wenn du ein BetriebskontinuitĂ€ts-Problem zĂŒchten willst, dann machst du folgendes:

Problem wohl seit Mitte MĂ€rz kennen

17:42 am Donnerstag vor einem Feiertag Problem ankĂŒndigen. Fix aber nur ankĂŒndigen.

18:xx Fix kommunizieren - dann erst ist ĂŒberhaupt handeln möglich

Zertifikate an Ostermontag (Feiertag) zurĂŒckziehen

Apr 5 at 8:36amToot!
Show threadBianca Kastl1d ago

Ach so: Impact sind quasi alle TLS Zertifikate von der D-Trust seit MĂ€rz 2025 (!). Also sehr viele D-Trust bis fast alle mit D-Trust TLS Zertifikaten.

“D-Trust has concluded that all TLS certificates issued on or after March 15, 2025 are non-compliant with the TLS Baseline Requirements. D-Trust will revoke all affected certificates within the next five days and will report on the progress of the revocation.”

https://bugzilla.mozilla.org/show_bug.cgi?id=2029013 (ht https://chaos.social/@HeNeArXn/116351206281632251)

2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

Show threadenachtpfoetchen6s01d ago
@bkastl heißt ich als nicht admin bekomme morgen abend auf seiten einen Banner angezeigt das was nicht geht und dienstag frĂŒh sollte alles wieder laufen?
Show threadBianca Kastl1d ago
@nachtpfoetchen falsch verstanden. Ja. Als User sagt dein Browser dir: Webseite xy ist unsicher. Dann sind admins erst mal busy, dann kommst du spÀter wieder und es sieht normal aus
Show threadenachtpfoetchen6s01d ago
@bkastl oki! Danke fĂŒr das update:3
Show threadjk1d ago
@bkastl ja, das ist schon ein klein bissel unglĂŒcklich, wenn bei d-trust das nicht so kleingedruckte datum ĂŒberlesen wurde 🙃 https://cabforum.org/working-groups/server/baseline-requirements/requirements/#4312-linting-of-to-be-signed-certificate-content
Show threadSven1d ago
@bkastl Devils advocate theorie: Mitte MĂ€rz haben sie das erste Problem entdeckt. Im Laufe der Diskussion dazu kommt auf warum ihr Prozess das nicht vorher gemerkt hat. Sie starten Review dazu, das kommt ~2 Wochen spĂ€ter (Mittwoch) zurĂŒck mit "Unser Prozess war falsch". Im Prinzip triggert genau die Erkenntnis eine fixe 5 Tage deadline.
HÀtte jemand sagen können "tun wir mal so als hÀtten wir das ersten nÀchsten dienstag gesehen"? Ja. Ist das was wir wollen das CAs tun? very slippery slope
Show threadSven1d ago
@bkastl (das ich mal in Diskussionen die Bundesdruckerei verteidige hÀtte ich auch nicht erwartet :D)
Show threadBianca Kastl1d ago
@HeNeArXn konsequentes Handeln als CA ist gut. Allerdings heißt das auch: wenn schon vorher was sich belegbar andeutete und irgendwas spĂ€ter kommuniziert wurde, dann ist die nicht konsequente Kommunikation zu Beginn bereits das Problem.
Show threadTheTomas1d ago

@bkastl Insgesamt Indizen fĂŒr

a) fehlende technische Expertise (das mit 200 Tagen ist ja seit lÀngerem bekannt)

b) falsche Prozesse, die das nicht abdecken

c) fehlende Aufsicht/ Review/ Governance, die das nicht aufdecken

d) schlechte Kommunikation

Und die Beteiligten wollen alle zertifiziert und auditiert sein. Ich wĂŒrde sagen, da wird nicht gelebt, was man sich selbst und anderen versprochen hat. Ob es ein Postmortem oder Lessons Learned geben wird? Ich bezweifle es.

Show threadwrdlbrmpft1d ago
@bkastl in meinem Dunstkreis: Amtsgerichte, Kammergericht, LaGeSo – Reaktion bisher: Null