Bianca Kastl2d ago
Ostern. Admins finden ein paar bald nicht mehr funktionierende Zertifikate 🐣🤷‍♀️ https://www.heise.de/news/Fieses-Osterei-D-Trust-verlangt-Zertifikatstausch-bis-Ostermontag-11245930.html
Admins müssen D-Trust-Zertifikate tauschen – bis Ostermontag

Die Bundesdruckerei-Tochter D-Trust beschert Administatoren kurzfristige Ostereinsätze: Ihre TLS-Zertifikate müssen bis Ostermontag 17 Uhr getauscht sein.

heise online
Show threadBianca Kastl2d ago

Falls mich wer fragt, ob das ein Sicherheitsproblem ist: Ja, aber nicht wegen ein paar non konformen Zertifikaten, sondern wegen der Kommunikations-Timeline drum herum.

Wenn du ein Betriebskontinuitäts-Problem züchten willst, dann machst du folgendes:

Problem wohl seit Mitte März kennen

17:42 am Donnerstag vor einem Feiertag Problem ankündigen. Fix aber nur ankündigen.

18:xx Fix kommunizieren - dann erst ist überhaupt handeln möglich

Zertifikate an Ostermontag (Feiertag) zurückziehen

Show threadSven
@bkastl Devils advocate theorie: Mitte März haben sie das erste Problem entdeckt. Im Laufe der Diskussion dazu kommt auf warum ihr Prozess das nicht vorher gemerkt hat. Sie starten Review dazu, das kommt ~2 Wochen später (Mittwoch) zurück mit "Unser Prozess war falsch". Im Prinzip triggert genau die Erkenntnis eine fixe 5 Tage deadline.
Hätte jemand sagen können "tun wir mal so als hätten wir das ersten nächsten dienstag gesehen"? Ja. Ist das was wir wollen das CAs tun? very slippery slope
Apr 5 at 8:51amWeb
Show threadSven2d ago
@bkastl (das ich mal in Diskussionen die Bundesdruckerei verteidige hätte ich auch nicht erwartet :D)
Show threadBianca Kastl2d ago
@HeNeArXn konsequentes Handeln als CA ist gut. Allerdings heißt das auch: wenn schon vorher was sich belegbar andeutete und irgendwas später kommuniziert wurde, dann ist die nicht konsequente Kommunikation zu Beginn bereits das Problem.