Gestern (13. Oktober 2016) wurden bestimmte Segmente der Public Key Infrastructue (PKI)- Welt in Aufruhr versetzt, als ein GlobalSign CA-Zertifikat widerrufen zu werden schien. Natürlich ist der Widerruf eines CA-Zertifikats ein bedeutendes Ereignis, da alle Zertifikate, die über diese CA laufen, effektiv ungültig werden.
Viele Nachrichtenagenturen berichteten, dass GlobalSign "Mist gebaut" habe und versehentlich eine aktive, nicht kompromittierte CA widerrufen habe. GlobalSign schob die Schuld jedoch auf die Browser-Implementierer zurück: https://www.globalsign.com/en/customer-revocation-error/
"Als Teil einer geplanten Maßnahme zur Beseitigung einiger dieser Links wurde ein Cross-Zertifikat, das zwei Roots miteinander verbindet, widerrufen ... einige Browser schlossen fälschlicherweise, dass die cross-signierte Root Zwischenzertifikate widerrufen hatte, was nicht der Fall war."
Je nachdem, wem man Glauben schenkt, war also entweder GlobalSigns Fehler oder ein fehlerhafter Zertifikatsvalidierungscode, der von Browsern wie Google Chrome verwendet wird. Um GlobalSign gegenüber fair zu sein, haben wir sicherlich viele Beispiele für vergangene SSL/TLS Implementierungsprobleme gesehen: FREAK, HEARTBLEED und Apples "goto fail" -Fehler kommen einem sofort in den Sinn, ganz zu schweigen von protokollbasierten Problemen wie POODLE und DROWN. In Anbetracht der relativen Erfolgsbilanz erscheint mir die Erklärung von GlobalSign eigentlich recht plausibel.
Wie auch immer, es ist nur ein weiterer Beweis dafür, dass PKI schwierig ist.