Web-Verschlüsselung: DigiCert widerruft TLS-Zertifikate aufgrund eines Fehlers

31.07.2024 13:18 Uhr heise

DigiCert die Zertifizierungsstelle für TLS-Zertifikate, sieht sich gezwungen, einige ihrer Zertifikate für ungültig zu erklären. Ein Fehler in der Validierung war der Grund. Dies betrifft Web-Admins die nun gezwungen sind, neue Zertifikate zu erstellen.

Bedeutung der TLS-Zertifikate

TLS-Zertifikate sind von großer Wichtigkeit. Sie schützen die Verbindungen im Internet. Kriminelle sollen dadurch daran gehindert werden » sensible Daten abzufangen « ebenso wie beispielsweise Bankdaten. Betreiber von Websites müssen die Herkunft ihrer Zertifikate nachweisen. Eine gängige Methode ist die Domain Control Verification (DCV). Diese Verfahren bringt die Betreiber dazu, einen Zufallswert im DNS-CNAME-Eintrag hinzuzufügen. DigiCert überprüft diesen Wert dann durch eine DNS-Abfrage – so funktioniert es.

Der Fehler bei der Validierung

Die detaillierten Abläufe bei der Validierung werden vom CA/Browser Forum (CABF) geregelt. Besonders wichtig ist; dass dem Zufallswert ein Unterstrich vorangestellt wird. Dieser Schritt verhindert mögliche Kollisionen mit tatsächlichen Domainnamen. Obwohl solche Kollisionen nicht häufig sind – dennoch ist es eine wichtige Vorgabe.

Ein Umstellungsfehler bei DigiCert im August 2019 führte zu einem Problem. Die CA stellte fest; dass kein Unterstrich generiert wurde. Dies bemerkte DigiCert erst kürzlich – der Anstoß kam durch einen Supportfall. Die korrekte CNAME-Validierung für die Domain foo.example.com sieht beispielsweise so aus: `_randomValue.foo.example.com CNAME dcv.digicert.com`.

Korrektur des Fehlers

DigiCert hat den Fehler mittlerweile behoben. Sie haben ihre Zufallszahlengeneratoren auf ihre Richtigkeit getestet. Laut eigenen Angaben sind etwa 0,4 Prozent der Zertifikate die durch diese Methode validiert wurden, von dem Fehler betroffen. Web-Admins die sich in ihren CertCentral-Account einloggen, erhalten Benachrichtigungen über die widerrufenen Zertifikate. Es liegt nun an ihnen; diese neu auszustellen.

Insgesamt handelt es sich um eine ernste Angelegenheit die zeigt wie wichtig präzise Validierungsprozesse für die IT-Sicherheit sind.

Kommentare

Ähnliche News

Apple setzt kürzere Gültigkeitsdauer für SSL/TLS-Zertifikate durch

Offenbar wird Apple künftig kürzere Gültigkeitsdauern für SSL/TLS-Zertifikate erzwingen. Diese Zertifikate werden genutzt – um eine sichere Verbindung zwischen Webservern und Browsern herzustellen.

Symantec bietet kostenlose SSL/TLS-Zertifikate im Web an

Verschlüsselung im Web: Symantec verspricht kostenlose SSL/TLS-Zertifikate

Symantec hat eine Initiative gestartet um zusammen mit Webhostern kostenlose SSL/TLS-Zertifikate für deren Kunden anzubieten. Diese Aktion namens Encryption-Everywhere-Kampagne soll dazu beitragen, dass das gesamte Internet flächendeckend verschlüsselt ist.

Kostenlose SSL-/TLS-Zertifikate von StartCom

Webseiten-Betreiber haben die Möglichkeit, kostenlose SSL-/TLS-Zertifikate von StartCom zu erhalten und diese automatisch auf ihren Web-Servern installieren zu lassen. Der Service nennt sich StartEncrypt und soll von der Beantragung bis zur Installation voll automatisiert ablaufen.

GoDaddy-Zertifikate für ungültig erklärt aufgrund von Softwarefehler

Einige SSL-/TLS-Zertifikate von GoDaddy wegen Software-Bug für ungültig erklärt

Ein Softwarefehler hat dazu geführt, dass einige SSL-/TLS-Zertifikate von GoDaddy für ungültig erklärt werden mussten. Laut Berichten sind rund 6100 Kunden von diesem Problem betroffen. Wer betroffen ist » muss manuell einen Antrag auf ein neues « kostenloses Zertifikat stellen.

Amazon Web Services stellt automatisierte SSL/TLS-Zertifikatsverwaltung vor

Amazon Web Services bringt automatisierte SSL/TLS-Zertifikatsverwaltung

Amazon Web Services (AWS) hat den AWS Certificate Manager eingeführt der die Verwaltung von SSL/TLS-Zertifikaten automatisiert. Aktuell ist der Dienst nur in einer US-amerikanischen Region verfügbar freilich plant Amazon, ihn in naher Zukunft ebenfalls in anderen Gebieten anzubieten.