**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
-
@bsi
Darf man fragen, was Auslöser für diese Maßnahme und vor Allem die drastische Einschränkung der Gültigkeit aller kürzlich erst ausgestellten Zertifikate war?
Auf der D-Trust-Website klingt die Begründung harmlos wie eine reguläre Wartungsmaßnahme.
Wegen einer Solchen würde man aber nicht die Gültigkeit plötzlich auf wenige Tage beschränken.
Gleichzeitig wird behauptet, alle Zertifikate seien zu jedem Zeitpunkt sicher. Aber warum müssen sie dann so plötzlich so dringend ersetzt werden???@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben.. -
@isf @bsi https://heise.de/-11245930
Kurzfassung: Sie haben Dinge anders interpretiert, als es üblich ist. Deutsche Behörde eben..@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht... -
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.
Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.
-
@miller @bsi
Also entweder ist die Sicherheit der betroffenen Zertifikate sehr wohl tangiert, oder diese Blitzaktion mit all ihren absehbar gravierenden Folgen ist nicht gerechtfertigt. Sollte Letzteres zutreffen, dürfte über Schadenersatz noch zu reden sein.
Sollte Ersteres zutreffen, so verbreitet D-Trust auf der eigenen Website eine gefährliche Desinformation.
Beides ist nicht akzeptabel.
Bin bisher kein D-Trust-Kunde, und möglicherweise werde ich es auch nicht...@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist?
️ -
@bsi Danke für den Hinweis und schön zu sehen das ihr euer D-Trust Zertifikat gestern zeitnah erneuert habt.
Die ausstellende CA ist leider nicht in allen Root Stores vorhanden / von allen Root Store Programmen als vertrauenswürdig anerkannt.Bspw. erscheinen für Nutzende von Apple Geräten eure Webseiten nun als nicht mehr vertrauenswürdig.
Ist das so gewollt?
@plaste @bsi Es scheint mir suboptimal konfiguriert zu sein, Details hier: https://chaos.social/@F30/116348001721376200
-
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi@social.bund.de ist D-Trust nicht ein bundeseigenes Unternehmen?
-
Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.
[4/4]
-
@plaste @bsi Es scheint mir suboptimal konfiguriert zu sein, Details hier: https://chaos.social/@F30/116348001721376200
@F30 @bsi Kommt auf die Perspektive an. Die AIA des finalen Zertifikates der Issuing CA verweist auf die nicht Cross- Signed Root CA.
IMHO braucht es hier, zumindest temporär eine Trust Chain mit verweisen auf die Cross- Signed CA. Das OS / der Browser folgen stumpf der Kette und kennen die Cross-Signed CA nicht.
Dazu kommt das nicht jeder Client die AIA Informationen nutzt.
-
@F30 @bsi Kommt auf die Perspektive an. Die AIA des finalen Zertifikates der Issuing CA verweist auf die nicht Cross- Signed Root CA.
IMHO braucht es hier, zumindest temporär eine Trust Chain mit verweisen auf die Cross- Signed CA. Das OS / der Browser folgen stumpf der Kette und kennen die Cross-Signed CA nicht.
Dazu kommt das nicht jeder Client die AIA Informationen nutzt.
-
Das klingt nach einem sehr schweren Sicherheitsvorfall. Dass das nicht der Fall ist, ist unglaubwürdig. Zwei Tage alte Zertifikate macht man nicht aus Jux und Dollerei über Osterfeiertage ungültig.
Auf jeden Fall sollte man sich nach so einer Oster-Aktion einen anderen Anbieter für Zertifikate suchen.
@byggvir @bsi Im Bericht zum Vorfall steht ja: "D-Trust identified that 19 TLS precertificates were issued with a validity period exceeding the maximum allowed validity of 200 days as defined in the TLS Baseline Requirements. The affected precertificates were issued with a validity period greater than permitted under Section 6.3.2. All affected certificates have been revoked after the issue was identified"
D-Trust hat zwar die 19 zu lang ausgestellten Zertifikate widerrufen und es gibt kein Risiko für die Bevölkerung. Insofern brauchen sie keine weiteren Erklärungen zu liefern.
Sie haben aber eine Verpflichtung als Zertifikatsaustellende Stelle (CA) verletzt und befürchten jetzt, aus den Wurzelspeichern (root stores) zu fliegen, was ihnen die Geschäftsgrundlage entziehen könnte. Dieses Risiko ist es wert, in vorauseilendem Gehorsam zu zeigen, dass D-Trust das Vertrauen der Internet-Gemeinde verdient. Das ist nur meine Interpretation und meine Vermutung, bitte nicht für bare Münze nehmen. Ich halte die Vorgangsweise für richtig. Es wäre ein unvergleichlich größeres Debakel, wenn D-Trust als CA rausfliegt.
Es wäre interessant herauszufinden, wer ihnen die manipulierten/präparierten Anträge (signing request) untergejubelt hat.
-
@byggvir @bsi Im Bericht zum Vorfall steht ja: "D-Trust identified that 19 TLS precertificates were issued with a validity period exceeding the maximum allowed validity of 200 days as defined in the TLS Baseline Requirements. The affected precertificates were issued with a validity period greater than permitted under Section 6.3.2. All affected certificates have been revoked after the issue was identified"
D-Trust hat zwar die 19 zu lang ausgestellten Zertifikate widerrufen und es gibt kein Risiko für die Bevölkerung. Insofern brauchen sie keine weiteren Erklärungen zu liefern.
Sie haben aber eine Verpflichtung als Zertifikatsaustellende Stelle (CA) verletzt und befürchten jetzt, aus den Wurzelspeichern (root stores) zu fliegen, was ihnen die Geschäftsgrundlage entziehen könnte. Dieses Risiko ist es wert, in vorauseilendem Gehorsam zu zeigen, dass D-Trust das Vertrauen der Internet-Gemeinde verdient. Das ist nur meine Interpretation und meine Vermutung, bitte nicht für bare Münze nehmen. Ich halte die Vorgangsweise für richtig. Es wäre ein unvergleichlich größeres Debakel, wenn D-Trust als CA rausfliegt.
Es wäre interessant herauszufinden, wer ihnen die manipulierten/präparierten Anträge (signing request) untergejubelt hat.
Und das fällt ihnen Gründonnerstag auf und muss so schnell behoben werden, dass nicht bis Mittwoch oder Freitag der Woche Zeit ist?
-
Im Zuge dieser kurzfristig seitens der D-Trust GmbH erfolgten Maßnahme kann es während des Austauschs zu temporären Ausfällen zahlreicher Websites kommen - auch Institutionen der Bundesverwaltung sind betroffen. Die Maßnahme und in der Folge gegebenenfalls temporär auftretende Ausfälle stehen jedoch nicht im Zusammenhang mit einem Cyberangriff.
[3/4]
@bsi Die Schulungen scheinen bislang nicht die erforderliche Qualität erzeugt zu haben. Schon blöd wenn man die "Laufzeit" übersieht, aber noch doofer ist es die Arbeit den Kunden aufzuhalsen.
-
Und das fällt ihnen Gründonnerstag auf und muss so schnell behoben werden, dass nicht bis Mittwoch oder Freitag der Woche Zeit ist?
@byggvir @benchmark @bsi Die CA hat max. 5 Tage Zeit ab Kenntnis die Zertifikate zu widerrufen. Da bleibt dann wenig Handlungsspielraum. Dass das nun am Gründonnerstag auffällt, ist halt dumm gelaufen.
CAB BR 4.9.1.1:
"With the exception of Short-lived Subscriber Certificates, the CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days and use the corresponding CRLReason (see Section 7.2.2) if one or more of the following occurs:"
-
Die D-Trust GmbH hat ihren Kunden Informationen zum Zertifkatstausch bereitgestellt, die nun unmittelbar beachtet und umgesetzt werden müssen, Weitere Informationen sind zudem unter https://www.d-trust.net/de verfügbar.
[4/4]
Da weder D-Trust noch @bsi den effektiven Grund für die Revocations nennen sind beide offensichtlich nicht vertrauenswürdig.
-
@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist?️ -
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
-
**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**
Die D-Trust GmbH tauscht kurzfristig TLS-Website-Zertifikate aus, die zwischen dem 15.03.2025 und dem 02.04.2026, 10:45 Uhr, ausgestellt wurden. Diese Zertifikate verlieren bereits am Montag, 06.04.2026, 17:00 Uhr, ihre Gültigkeit und sind ab diesem Zeitpunkt nicht mehr einsetzbar! [1/x]
@bsi wie kann man denn Ostermontag 17 Uhr für eine frühzeitige Revocation wählen?! Das schreit doch nach Massenweise Problemen die frühstens Dienstag 9 Uhr anslysiert werden. Wer hat denn hier die Risikoabwägung getätigt und wie kann man das begründen?
-
@byggvir @benchmark @bsi Die CA hat max. 5 Tage Zeit ab Kenntnis die Zertifikate zu widerrufen. Da bleibt dann wenig Handlungsspielraum. Dass das nun am Gründonnerstag auffällt, ist halt dumm gelaufen.
CAB BR 4.9.1.1:
"With the exception of Short-lived Subscriber Certificates, the CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days and use the corresponding CRLReason (see Section 7.2.2) if one or more of the following occurs:"
@tbchlh @byggvir @benchmark @bsi dann sollte aber mal "days" durch "Work days" ersetzt werden. So versaut man vielen Leuten (IMHO) die Feiertage und Phishing dazu gibt es vermutlich auch schon.
-
@byggvir @benchmark @bsi Die CA hat max. 5 Tage Zeit ab Kenntnis die Zertifikate zu widerrufen. Da bleibt dann wenig Handlungsspielraum. Dass das nun am Gründonnerstag auffällt, ist halt dumm gelaufen.
CAB BR 4.9.1.1:
"With the exception of Short-lived Subscriber Certificates, the CA SHOULD revoke a certificate within 24 hours and MUST revoke a Certificate within 5 days and use the corresponding CRLReason (see Section 7.2.2) if one or more of the following occurs:"
Operative Hektik ersetzt geistige Windstille. Schon Jesus wusste, dass der Sabath für den Menschen da ist und nicht umgekehrt. 200 Tage oder 5 Tage sind kein Naturgesetz.
-
