BSI1d ago

Na, könnt ihr unser Oster-Rätsel lösen – oder seid ihr ratlos? 🐣

Auflösung in den Kommentaren. ⬇️
Frohe und sichere Ostern wünscht euch das #TeamBSI 🐰💐

Show threadIsarblues
@bsi
Das eigentliche Oster-Rätsel ist doch, was es mit dem Zertifikate-Desaster bei D-"Trust" auf sich hat, von dem Ihr gestern berichtet hattet. Dieses Rätsels Lösung liegt weiterhin nicht vor.
Apr 5 at 9:58amWeb
Show threadAlles klar außer Name1d ago

@isf @bsi

Doch, doch:

https://bugzilla.mozilla.org/show_bug.cgi?id=2029013

Keine automatisierte Prüfung von Zertifikaten vor dem
Signieren wie vorgegeben und dadurch auch Herausgabe von Zertifikaten mit zu langen Laufzeiten. Daher alles revoken, was so erzeugt wurde. Das Timing war natürlich zusätzlich extrem ungünstig.

2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

Show threadIsarblues1d ago
@ulid000 @bsi
Das Desaster besteht ja nicht darin, dass man Zertifikate erneuern muss, weil da in der Vergangenheit was schief gelaufen ist. Das Desaster besteht im Timing und der Kommunikation von D-Trust:
Donnerstag Abend vor mehreren Feiertagen melden, dass ein Problem besteht, etwas später erst konkretisieren, dass Betroffene bis Feiertags 17:00 reagiert haben müssen. Gleichzeitig auf der Website behaupten, es bestünde kein Sicherheitsproblem.
Da wird über Schadenersatz zu reden sein...
Show threadAlles klar außer Name1d ago

@isf @bsi

Es ist halt ein Sicherheitsvorfall bei D-Trust automatische Prüfung nicht durchgeführt zu haben und dadurch auch TLS Baseline Requirements verletzt zu haben. Sonst gäbe es auch keinen Grund alle in diesem Zeitraum ausgestellten Zertifikate zu revoken, um das Vertrauen in von D-Trust ausgestellte Zertifikate zu sichern.

Angefangen hat das mit https://bugzilla.mozilla.org/show_bug.cgi?id=2023458 und hat dann zu https://bugzilla.mozilla.org/show_bug.cgi?id=2029013 geführt.

2023458 - D-Trust: TLS Precertificates Exceeding the Maximum Validity Period Allowed by the TLS Baseline Requirements

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-03.

Show threadTobias 😎🌍🇪🇺🇺🇦☀️🚀🚵13h ago

@ulid000 @isf @bsi Die pre-certificates hätten es nicht ins CT Log schaffen dürfen. Es wurden immerhin keine finalen Zertifikate ausgestellt und die Firma hat es selbst gemerkt:

"Where we got lucky: No non-compliant TLS end-entity certificates were issued.
Additional: ..."

Das ist für die Kunden ärgerlich, aber in der Tat keine ernsthafte Bedrohung der Sicherheit.

Show threadTobias 😎🌍🇪🇺🇺🇦☀️🚀🚵12h ago
@ulid000 @isf @bsi Korrektes Linting der Pre-certificates vor der CT issuance und die Verwendung eines Dummy-Keys hätten das verhindert. Leider haben in dem (richtigerweise) streng regulierten Web-PKI Umfeld kleine Fehler einen hohen Blast-Radius.