Da Richtlinien nicht korrekt eingehalten wurden, entzieht DigiCert TLS-Zertifikaten von etwa Thawte & Co. das Vertrauen. Admins müssen die Zertifikate ersetzen.

Die Zertifizierungsstelle (CA) von TLS-Zertifikaten DigiCert widerruft am morgigen Samstag um 20 Uhr zehntausende Intermediate-Zertifikate. Die CA hat diese bereits kostenlos neu ausgestellt. Die Umstellung erfolgt aber nicht automatisch.

TLS-Zertifikate stellen sicher, dass Webbrowser und Internetseiten verschlüsselt miteinander kommunizieren. Intermediate-Zertifikate werden stets von seriösen Partnern einer CA ausgestellt. Besucht man etwa eine Website mit einem Zertifikat vom DigiCert-Partner Thawte, verfolgt der Webbrowser die Zertifikatskette zurück und landet am Ende beim vertrauenswürdigen Root-Zertifikat von DigiCert.

Der Grund für den Widerruf ist, dass die betroffenen Zertifikate bei der letzten Sicherheitsprüfung (Audit) durch WebTrust nicht beachtet wurden, schreibt DigiCert in einem Beitrag. Das verstößt gegen die Richtlinien von Extended-Validation-Zertifikaten (EV). Das Hauptmerkmal von EV-Zertifikaten ist, dass sie eine strengere Überprüfung des Antragstellers einfordern.

Damit die Erreichbarkeit von Websites sichergestellt ist, müssen Admins jetzt handeln und die aktualisierten Zertifikate auf ihren Web-Servern einbinden.

Das kommt ziemlich überraschend und setzt Admins unter Zeitdruck. DigiCert hält sich aber an die für einen solchen Fall existierende Fünf-Tage-Regel, die das CA/Browser Forum vorgibt. Dabei handelt es sich um einen Zusammenschluss von CAs und Webbrowser-Herstellern wie Mozilla. Eigenen Angaben zufolge hat DigiCert den Widerruf am vergangenen Montag dieser Woche beschlossen.

Um folgende Intermediate-TLS-Zertifikate auf EV-Basis geht es. Auf DV- oder OV-Basis ausgestellte Zertifikate sind nicht betroffen.

  • DigiCert Global CA G2
  • GeoTrust TLS RSA CA G1
  • Secure Site CA
  • Thawte TLS RSA CA G1
  • Cybertrust Japan Secure Server ECC CA
  • DigiCert Global CA G3
  • GeoTrust TLS ECC CA G1
  • Thawte TLS ECC CA G1
  • NCC Group Secure Server CA G3
  • Aetna Inc. Secure CA2
  • DigiCert SHA2 High Assurance Server CA
  • NCC Group Secure Server CA G2
  • Plex Devices High Assurance CA2
  • TERENA SSL High Assurance CA 3

Das sind die neu ausgestellten Zertifikate:

  • DigiCert EV RSA CA G2
  • GeoTrust EV RSA CA G2
  • Thawte EV RSA CA G2