Feodora 🐈‍⬛(🐈)🐾🐾😺(😺)21h ago
BSI

Na, könnt ihr unser Oster-Rätsel lösen – oder seid ihr ratlos? 🐣

Auflösung in den Kommentaren. ⬇️
Frohe und sichere Ostern wünscht euch das #TeamBSI 🐰💐

Apr 5 at 8:55amWeb
Show threadBSI22h ago
🐇 Auflösung vom Oster-Rätsel:
.
.
.
Richtig ist ein sicheres, langes und für jeden Dienst einzigartiges Passwort, idealerweise kombiniert mit Zwei-Faktor-Authentifizierung (2FA). So bleibt euer digitales Nest gut geschützt!
Mehr Infos zu sicheren Passwörtern: 👉️ https://www.bsi.bund.de/dok/131366
Sichere Passwörter erstellen

Wie lang ist ein sicheres Passwort? Sichere Passwörter sind ausreichend lang und komplex. Wir geben Tipps, wie sichere Passwörter aussehen sollten.

Bundesamt für Sicherheit in der Informationstechnik
Show threadBjörn22h ago
@bsi Wo möglich, kann man mich auch durch einen Passkey austauschen 😉
Show threadGunChleoc22h ago
@funqr @bsi Keepass FTW
Show threadHolunder195720h ago
@bsi
Ich nutze Passkey, leider unterstützt bisher nur die Telekom dieses Anmelde Verfahren.
Show threadDr. Marco Klement19h ago
@Holunder1957 @bsi Ich nutze meinen Hardware-Passkey (passwordless webauthn) bei GitHub, im HomeLab über Keycloak, Authega. Aber es dürfte gerne mehr sein :D
Show threadAnn Effes19h ago

@bsi

Fehlt noch der Hinweis, dass man Passwörter *nicht* häufig wechseln sollte.

(weil das idR zu einer Verschlechterung der Passwortqualität führt, z.b. "MeinenSuperpasswort123!2025" gefolgt von - weil ich es mir sonst nicht merken kann - "MeinenSuperpasswort123!2026")

Show threadKaguya 16h ago
@bsi Ach Quatsch, 1234567891011zwölf ist sicher genug!! /s
Show threadSchlaf ist überbewertet22h ago
@bsi

ek[Zi85*RgIP.LL@scy]
Show threadIsarblues21h ago
@bsi
Das eigentliche Oster-Rätsel ist doch, was es mit dem Zertifikate-Desaster bei D-"Trust" auf sich hat, von dem Ihr gestern berichtet hattet. Dieses Rätsels Lösung liegt weiterhin nicht vor.
Show threadAlles klar außer Name19h ago

@isf @bsi

Doch, doch:

https://bugzilla.mozilla.org/show_bug.cgi?id=2029013

Keine automatisierte Prüfung von Zertifikaten vor dem
Signieren wie vorgegeben und dadurch auch Herausgabe von Zertifikaten mit zu langen Laufzeiten. Daher alles revoken, was so erzeugt wurde. Das Timing war natürlich zusätzlich extrem ungünstig.

2029013 - D-Trust: Missing Pre-Signing Linting for TLS Issuance

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-04.

Show threadIsarblues18h ago
@ulid000 @bsi
Das Desaster besteht ja nicht darin, dass man Zertifikate erneuern muss, weil da in der Vergangenheit was schief gelaufen ist. Das Desaster besteht im Timing und der Kommunikation von D-Trust:
Donnerstag Abend vor mehreren Feiertagen melden, dass ein Problem besteht, etwas später erst konkretisieren, dass Betroffene bis Feiertags 17:00 reagiert haben müssen. Gleichzeitig auf der Website behaupten, es bestünde kein Sicherheitsproblem.
Da wird über Schadenersatz zu reden sein...
Show threadAlles klar außer Name15h ago

@isf @bsi

Es ist halt ein Sicherheitsvorfall bei D-Trust automatische Prüfung nicht durchgeführt zu haben und dadurch auch TLS Baseline Requirements verletzt zu haben. Sonst gäbe es auch keinen Grund alle in diesem Zeitraum ausgestellten Zertifikate zu revoken, um das Vertrauen in von D-Trust ausgestellte Zertifikate zu sichern.

Angefangen hat das mit https://bugzilla.mozilla.org/show_bug.cgi?id=2023458 und hat dann zu https://bugzilla.mozilla.org/show_bug.cgi?id=2029013 geführt.

2023458 - D-Trust: TLS Precertificates Exceeding the Maximum Validity Period Allowed by the TLS Baseline Requirements

ASSIGNED (enrico.entschew) in CA Program - CA Certificate Compliance. Last updated 2026-04-03.

Show threadWikiBayer16h ago
@bsi Passwort