zurück zum Artikel

Verisign-Zertifikate abgelaufen

Heute sind zwei von Verisigns[1] Intermediate-Zertifikaten abgelaufen, die unter anderem im Internet Explorer und Mozilla dafür sorgen, die Vertrauenswürdigkeit und Herkunft von SSL-Server-Zertifikaten zu überprüfen. Mit den Zertifikaten stellt der Browser fest, ob das vom Web-Server übermittelte Zertifikat auch wirklich von Verisign unterschrieben wurde. Abgelaufen ist nun nicht das Root-Zertifikat von Verisign, sondern ein Zwischen-Zertifikat in einer Zertifizierungskette. Da dieses ungültig ist und die Kette unterbrochen ist, zeigt der Browser beim Aufbau einer SSL-gesicherten Verbindung eine Fehlermeldung an. Allerdings ist es weiterhin möglich, verschlüsselt mit dem Server zu kommunizieren.

Die Sparkasse Berlin beispielsweise ist eines der Opfer, dort warnt der Browser vor abgelaufenen Zertifikaten. Interessanterweise hat Verisign[2] der Sparkasse Berlin noch vor wenigen Monaten ein SSL-Zertifikat für den nun abgelaufenen Zertifikats-Pfad erstellt. Um den Fehler zu beseitigen, genügt es, auf der Serverseite ein neues Intermediate-Zertifikat zu installieren. Wie dies geht, zeigt Verisign hier: Intermediate CA Replacement Instructions[3]. Das Intermediate-Zertifikat übermittelt der Server bei der Client-Anfrage mit. Da dies mit einem weiterhin gültigen Root-Zertifikat unterschrieben ist, können Browser wieder ohne Fehlermeldung auf den Server zugreifen.

Betroffen sind auch andere Anwendungen, beispielsweise Suns Java-Pakete. Java-Applikationen und Browser-Applets, die die alten Zertifakte verwenden, zeigen ihren Benutzern Warnhinweise oder verweigern den Aufbau von SSL-Verbindungen. Sun hatte bereits im Dezember darauf aufmerksam gemacht.

Siehe dazu auch: (dab[4])


URL dieses Artikels:
http://www.heise.de/-91263

Links in diesem Artikel:
[1] http://www.verisign.com
[2] http://www.verisign.de
[3] http://www.verisign.com/support/site/caReplacement.html
[4] mailto:dab@ct.de
[5] https://www.heise.de/meldung/Verisign-Zertifikate-in-Suns-Java-Paketen-laufen-ab-90637.html
[6] https://www.heise.de/security/artikel/Verschluesselung-als-Baerendienst-270296.html