Web-Verschlüsselung: DigiCert widerruft TLS-Zertifikate aufgrund eines Fehlers

DigiCert die Zertifizierungsstelle für TLS-Zertifikate, sieht sich gezwungen, einige ihrer Zertifikate für ungültig zu erklären. Ein Fehler in der Validierung war der Grund. Dies betrifft Web-Admins die nun gezwungen sind, neue Zertifikate zu erstellen.



Bedeutung der TLS-Zertifikate


TLS-Zertifikate sind von großer Wichtigkeit. Sie schützen die Verbindungen im Internet. Kriminelle sollen dadurch daran gehindert werden » sensible Daten abzufangen « ebenso wie beispielsweise Bankdaten. Betreiber von Websites müssen die Herkunft ihrer Zertifikate nachweisen. Eine gängige Methode ist die Domain Control Verification (DCV). Diese Verfahren bringt die Betreiber dazu, einen Zufallswert im DNS-CNAME-Eintrag hinzuzufügen. DigiCert überprüft diesen Wert dann durch eine DNS-Abfrage – so funktioniert es.



Der Fehler bei der Validierung


Die detaillierten Abläufe bei der Validierung werden vom CA/Browser Forum (CABF) geregelt. Besonders wichtig ist; dass dem Zufallswert ein Unterstrich vorangestellt wird. Dieser Schritt verhindert mögliche Kollisionen mit tatsächlichen Domainnamen. Obwohl solche Kollisionen nicht häufig sind – dennoch ist es eine wichtige Vorgabe.



Ein Umstellungsfehler bei DigiCert im August 2019 führte zu einem Problem. Die CA stellte fest; dass kein Unterstrich generiert wurde. Dies bemerkte DigiCert erst kürzlich – der Anstoß kam durch einen Supportfall. Die korrekte CNAME-Validierung für die Domain foo.example.com sieht beispielsweise so aus: `_randomValue.foo.example.com CNAME dcv.digicert.com`.



Korrektur des Fehlers


DigiCert hat den Fehler mittlerweile behoben. Sie haben ihre Zufallszahlengeneratoren auf ihre Richtigkeit getestet. Laut eigenen Angaben sind etwa 0,4 Prozent der Zertifikate die durch diese Methode validiert wurden, von dem Fehler betroffen. Web-Admins die sich in ihren CertCentral-Account einloggen, erhalten Benachrichtigungen über die widerrufenen Zertifikate. Es liegt nun an ihnen; diese neu auszustellen.



Insgesamt handelt es sich um eine ernste Angelegenheit die zeigt wie wichtig präzise Validierungsprozesse für die IT-Sicherheit sind.






Kommentare


Anzeige