**Kurzfristige Maßnahmen erforderlich: Austausch von TLS-Zertifikaten der D-Trust GmbH**

@satmd @bsi Ja. Ich sag mal so, die Wahrscheinlichkeit dass bei D-Trust auch ein EJBCA läuft, ist nicht gering.
Die klassische Antwort wären detaillierte Change-Anweisungen und -Protokolle. Nicht schön, aber kann man für eine public CA schon mal machen.

@Marco @isf @miller @bsi Hilft hier halt nur bedingt. Also die Toolchain zu haben erleichtert die Arbeit, aber die Zertifikate wären ja eigentlich noch länger gultig.

@plaste @bsi Genau, und auch die Clients mit AIA Fetching sollten es nur als letztes Mittel verwenden.
Das Cross-signed Root mit als Intermediate in der Kette auszuliefern, müsste eigentlich in jedem Fall funktionieren.

@plaste @bsi Es scheint mir suboptimal konfiguriert zu sein, Details hier: https://chaos.social/@F30/116348001721376200

@isf @miller @bsi Es ist eine Compliance-Maßnahme.
Für öffentliche CAs in Browsern gelten heutzutage strenge Regeln, deren strikte Einhaltung erwartet wird. Dazu gehört das Zurückrufen fehlerhaft ausgestellter Zertifikate.
Andererseits werden User durch die jetzigen Auswirkungen mal wieder erzogen, Zertifikatsfehler wegzuklicken. Und Admins müssen über Ostern eilig Zertifikate tauschen.
Ob das unterm Strich nicht der größere Schaden für die Sicherheit ist? ‍️

@satmd @bsi Das da offenbar: https://bugzilla.mozilla.org/show_bug.cgi?id=2029013