@bsi

Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.

Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.

@byggvir @bsi Im Bericht zum Vorfall steht ja: "D-Trust identified that 19 TLS precertificates were issued with a validity period exceeding the maximum allowed validity of 200 days as defined in the TLS Baseline Requirements. The affected precertificates were issued with a validity period greater than permitted under Section 6.3.2. All affected certificates have been revoked after the issue was identified"

D-Trust hat zwar die 19 zu lang ausgestellten Zertifikate widerrufen und es gibt kein Risiko für die Bevölkerung. Insofern brauchen sie keine weiteren Erklärungen zu liefern.

Sie haben aber eine Verpflichtung als Zertifikatsaustellende Stelle (CA) verletzt und befürchten jetzt, aus den Wurzelspeichern (root stores) zu fliegen, was ihnen die Geschäftsgrundlage entziehen könnte. Dieses Risiko ist es wert, in vorauseilendem Gehorsam zu zeigen, dass D-Trust das Vertrauen der Internet-Gemeinde verdient. Das ist nur meine Interpretation und meine Vermutung, bitte nicht für bare Münze nehmen. Ich halte die Vorgangsweise für richtig. Es wäre ein unvergleichlich größeres Debakel, wenn D-Trust als CA rausfliegt.

Es wäre interessant herauszufinden, wer ihnen die manipulierten/präparierten Anträge (signing request) untergejubelt hat.

@benchmark @bsi

Und das fällt ihnen Gründonnerstag auf und muss so schnell behoben werden, dass nicht bis Mittwoch oder Freitag der Woche Zeit ist?

@byggvir @benchmark @bsi Die CA hat max. 5 Tage Zeit ab Kenntnis die Zertifikate zu widerrufen. Da bleibt dann wenig Handlungsspielraum. Dass das nun am Gründonnerstag auffällt, ist halt dumm gelaufen.

CAB BR 4.9.1.1:

"With the exception of Short-lived Subscriber Certificates, the CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days and use the corresponding CRLReason (see Section 7.2.2) if one or more of the following occurs:"