Ein Root-Zertifikat von Sectigo (ehemals Comodo) sorgt derzeit f\u00fcr Probleme: Das seit Ende Mai planm\u00e4\u00dfig abgelaufene Zertifikat ist in einigen Clients \u00fcber die Zertifikatskette weiterhin erreichbar, in \u00e4lteren Clients sorgt das Zertifikat jedoch f\u00fcr Schwierigkeiten.<\/p>\n
<\/p>\n
Das Rootzertifikat \u201eAddTrust External Root CA\u201c aus dem Hause Sectigo ist mit dem 30. Mai planm\u00e4\u00dfig abgelaufen<\/a>. Eine fehlerhafte Implementierung sorgt jedoch bei einigen TLS-Clients daf\u00fcr, dass diese weiterhin versuchen, eine Zertifikatskette zu diesem abgelaufenen Zertifikat aufzubauen. Nat\u00fcrlich m\u00fcssen die TLS-Clients daran scheitern, woraus dann eine Fehlermeldung zu einem fehlerhaften Zertifikat entsteht.<\/p>\n Das Problem liegt also nicht im Ablauf eines Root-Zertifikats. Sectigo besitzt und nutzt entsprechend aktuelle Root-Zertifikate, die ihre G\u00fcltigkeit behalten. Moderne TLS-Clients vertrauen den g\u00fcltigen Root-Zertifikaten. Sie nutzen automatisiert jene Zertifikatsketten, die eben auf die g\u00fcltigen Root-Zertifikate setzen. Dass alle g\u00e4ngigen Browser von der Problematik nicht betroffen sind, liegt daran, dass sie sich genauso wie beschrieben verhalten.<\/p>\n Server versenden ein Zwischenzertifikat (\u201eIntermediate Certificate\u201c) speziell f\u00fcr \u00e4ltere TLS-Clients mit. Wenn nun sehr alte Clients neuen g\u00fcltigen Root-Zertifikaten von Sectigo nicht vertrauen, was mangels Updates in aller Regel der Fall ist, muss es zwangsl\u00e4ufig zu Problemen kommen. Denn alte Clients versuchen, \u00fcber das Zwischenzertifikat eine Zertifikatskette herzustellen \u2013 und zwar zum betroffenen und bereits abgelaufenen AddTrust External Root CA von Sectigo. Da AddTrust External Root CA aus dem Jahre 2000 stammt, gelang es auch sehr alten Clients, Verbindungen zu verifizieren.<\/p>\n Wie schon das Root-Zertifikat ist auch das Zwischenzertifikat abgelaufen. F\u00fcr moderne TLS-Clients kein Problem: Sie vertrauen den g\u00fcltigen Root-Zertifikaten und sind in der Lage, g\u00fcltige Zertifikatsketten auch ohne Zwischenzertifikat zu bilden.<\/p>\n Jedoch machen einige Clients eben dies nicht. Neben \u00e4lteren Versionen der Bibliotheken LibreSSL und OpenSSL (LibreSSL kommt ab Version 3.2.0, OpenSSL ab 1.1 mit dem Problem klar) ist auch die aktuelle GnuTLS-Version betroffen. F\u00fcr die GnuTLS-Bibliothek existiert ein Patch<\/a>; die Version 3.6.14 soll das Problem dann beheben.<\/p>\n Nutzen Programme diese Bibliotheken, so versuchen sie selbst dann eine Zertifikatskette zu dem abgelaufenen Zwischenzertifikat aufzubauen, wenn es eigentlich unn\u00f6tig ist, sie den g\u00fcltigen Root-Zertifikaten von Sectigo also vertrauen. Da jedoch das Zwischenzertifikat abgelaufen ist, kann die Zertifikatskette nicht zustande kommen. Die Clients melden lediglich Zertifikatsfehler.<\/p>\n Sind auch Sie von dieser Problematik betroffen, so k\u00f6nnen Sie das Root-Zertifikat AddTrust External Root CA von Sectigo aus den Root-Zertifikaten, denen Ihr System vertraut, entfernen. Tats\u00e4chlich k\u00f6nnen einige Systeme besser mit unbekannten als mit abgelaufenen Zertifikaten umgehen. Ist das betroffene Root-Zertifikat entfernt, schwenken diese Systeme dann um und nutzen Zertifikatsketten zu g\u00fcltigen Root-Zertifikaten. Denken Sie bitte auch daran, alle Updates des Clients einzuspielen. So verschwinden abgelaufene Zertifikate automatisch von den Systemen.<\/p>\n Bei Servern sollte verhindert werden, dass das abgelaufene Zwischenzertifikat durch den Server ausgeliefert wird. So k\u00f6nnen Clients gezwungen werden, g\u00fcltige Zertifikate zu verwenden. Tools wie \u201eWhat\u2019s My Chain Cert?\u201c<\/a> helfen, herauszufinden, ob man betroffen ist. Hilfreich ist auch der SSL Server Test von Qualys SSL Labs<\/a>. Zwar werden Sie hier nicht konkret auf dieses Problem hingewiesen, jedoch wird Ihnen angezeigt, ob Ihr Server schon abgelaufene Zwischenzertifikate \u00fcbermittelt.<\/p>\nZwischenzertifikat f\u00fcr \u00e4ltere Clients<\/h3>\n
Was k\u00f6nnen betroffene Nutzer tun?<\/h2>\n