Ein lästiges Osterei: Zertifikatsaustausch durch D-Trust

Die Ursache – ein grober Überblick

Der Rückruf hatte glücklicherweise rein technische Gründe und stand in keinem Zusammenhang mit einem Cyberangriff oder einer sonstigen Kompromittierung. Vielmehr lag die Ursache in einem Fehler bei der Überprüfung der Zertifikate vor deren Ausstellung. Denn an Zertifikate werden durch das CA/Browser Forum strenge Anforderungen gestellt.

Das CA/Browser Forum umfasst – der Name lässt es schon vermuten – auch die großen Browserhersteller. Werden die Vorgaben nicht eingehalten, kann der jeweiligen Zertifizierungsstelle, in diesem Fall D-Trust, schnell das Vertrauen entzogen werden. In der Folge stufen gängige Browser sämtliche Webseiten, die Zertifikate von dieser Stelle nutzen, als unsicher ein.

Und genau in diesen Anforderungen liegt sowohl der Grund für den Rückruf der Zertifikate als auch das unschöne Timing, welches das Osterwochenende für einige Administratoren deutlich verkürzt haben dürfte.

Die Ursache – Details

Was ist nun genau schiefgelaufen? Eine Zertifizierungsstelle überprüft normalerweise jedes auszustellende Zertifikat vor der Ausstellung auf alle relevanten Vorgaben. Um diesen Prozess zu vereinfachen, gibt es gängige Tools, doch einige Zertifizierungsstellen setzen auch auf eigene Lösungen. Und genau das war bei D-Trust der Fall. Das interne Prüftool hat ein Detail nicht korrekt überprüft: Laut CA/Browser Forum dürfen Zertifikate nur eine maximale Gültigkeitsdauer von 200 Tagen haben. Da aber Zertifikate mit einer längeren Gültigkeitsdauer ausgestellt wurden, mussten diese zurückgerufen werden.

Ich bin mir ziemlich sicher, dass D-Trust den Prüfprozess genauer analysieren und um weitere Werkzeuge ergänzen wird – quasi ein automatisiertes 4-Augen-Prinzip für die Zertifikatsprüfung.

Das schlechte Timing

Jetzt, wo die Ursachen erläutert sind, stellt sich natürlich die Frage: Hätte man die Gültigkeit nicht einfach bis Dienstag (7. April) verlängern können, um allen Beteiligten ein ruhigeres Osterwochenende zu ermöglichen?

Die Antwort ist ein ganz klares „Nein“. Denn auch hier greifen die Vorgaben des CA/Browser Forum: Diese verpflichteten D-Trust, die Zertifikate am 6. April um 17 Uhr für ungültig zu erklären. Andernfalls hätte ein sog. „Detrust“ gedroht. Damit wären alle Zertifikate von D-Trust in den gängigen Browsern als nicht vertrauenswürdig eingestuft worden – der Worst Case für eine Zertifizierungsstelle!

Die Arbeit der Admins

Damit durften die armen Administratoren die Suppe auslöffeln. Gut aufgestellt waren dabei Unternehmen, die auch über die Feiertage eine Bereitschaftsregelung hatten, sodass das Problem schnell angegangen werden konnte. Beiträge aus verschiedenen Foren zeigen dabei, dass einige Behörden und Unternehmen schneller waren als andere.

Wo keine Bereitschaftsregelung vorhanden war, war es oft reines Glück, dass Administratoren die Situation rechtzeitig bemerkt und korrigiert haben. Wer über das Osterwochenende „abseits der Zivilisation“ war, dürfte am Dienstag unter Umständen einen sehr stressigen Tag gehabt haben.

Das liegt auch daran, dass es für solche Fälle keine oder nur rudimentäre Automatismen gibt und die Erneuerung eines Zertifikats in diesem Fall menschlichen Eingriff benötigt.

Wer hat den schwarzen Peter?

Natürlich ist es jetzt einfach, entweder D-Trust oder das CA/Browser Forum als Buhmann der ganzen Geschichte zu erkennen. D-Trust hätte seinen Überprüfungsprozess sorgfältiger verifizieren müssen, und das CA/Browser Forum hätte möglicherweise etwas mehr Flexibilität zeigen können. In der Realität ist eine solche Bewertung jedoch zu einfach gedacht.

Ja, die D-Trust hätte genauer hinschauen können, vielleicht sogar müssen. In der Praxis führen Termindruck und Überlastung aber häufig dazu, dass weniger sorgfältig geprüft wird – nach dem Motto: „Das hat bisher ja immer funktioniert“. Deshalb sollte man hier nicht direkt die Fackeln und Mistgabeln auspacken, sondern sich darüber im Klaren sein, dass auch dort Menschen arbeiten. Und Menschen machen nun einmal Fehler.

Die angeblich fehlende Flexibilität des CA/Browser Forum ist ebenfalls nicht verwunderlich, sondern aus meiner Sicht sogar notwendig. Denn sobald man einem Mitglied eine Sonderlösung erlaubt, müsste man diese konsequenterweise auch anderen zugestehen. Damit stellt sich dann die Frage, wer entscheidet, wann welche Ausnahme gilt und wann nicht – und wie verhindert wird, dass sich einzelne Mitglieder benachteiligt fühlen.

Ganz einfach: Man erlaubt keine Sonderlösungen! Man kann damit vielleicht nicht alle glücklich machen, aber zumindest sind am Ende alle gleichermaßen unzufrieden mit dem Ergebnis.

Fazit

Was bei D-Trust passiert ist, war ein extrem unglücklicher Fall unzureichender Prüfung in Kombination mit schlechtem Timing. Der Rückruf der Zertifikate war in dieser Situation der einzig logische Schritt. Natürlich kann man sich darüber ärgern, doch es spricht einiges dafür, dass ein solcher Fehler dort nicht mehr passieren wird – schon allein wegen der deutlichen Reaktion und der daraus folgenden Konsequenzen.

Ich glaube nicht, dass dies ein Einzelfall bleibt. Wenn nicht D-Trust, dann kann es ebenso gut auch eine andere Zertifizierungsstelle treffen. Und gerade bei international tätigen CAs außerhalb Deutschlands spielen lokale Feiertage oder Besonderheiten wie Ostern vermutlich eine noch geringere Rolle.