Derzeit kann es bei einigen SSL-Zertifikaten aus dem Hause GlobalSign zu Problemen im Betrieb kommen. Webseitenbesucher erhalten in solchen Fällen die Warnmeldung, das verwendete SSL-Zertifikat sei zurückgerufen worden (revoked).
Ursache erkannt, jedoch können Probleme noch andauern
Dafür soll der CA zufolge ein Fehler beim Aktualisieren eines Cross-Zertifikates durch das Online Certificate Status Protcol (OCSP) verantwortlich sein, der letztlich die Zertifikaten zugrunde liegende Vertrauenskette kaputt gemacht hat. Das geht aus einem Schreiben an betroffene Webseiten-Betreiber hervor, das heise Security vorliegt. Aktuell sei der Fehler ausgebessert, Besucher von betroffenen Webseiten könnten aber auch in den kommenden Tagen noch auf Warnmeldungen stoßen.
GlobalSign hat das betroffene Cross-Zertifikat zwar bereits aus seiner OCSP-Datenbank entfernt, doch das Zertifikat kann noch im Zertifikatsspeicher eines Betriebssystems stecken, auf den etwa einige Webbrowser zugreifen. Das Problem sollte sich aber innerhalb der nächsten vier Tage von selbst lösen, da die Daten im Cache dann ablaufen und mit einem von der CA neu ausgestellten Root-Zertifikat ersetzt werden, versichert GlobalSign.
Was tun, wenn ich betroffen bin?
Zeigt der Webbrowser etwa beim Öffnen der Wikipedia-Seite keine Sicherheits-Warnung an (siehe Bild), kann man beruhigt weiter surfen. Taucht so eine Warnung auf und nutzt man etwa Chrome, kann man auf „Erweitert“ klicken, um die Warnung zu überspringen. In diesem Fall ist die Transportverschlüsselung zwar noch aktiv, die Identität der Webseite aber nicht mehr gesichert. Das sollte man also nicht auf Webseiten machen, denen man private Daten mitteilt.
Alternativ kann das Löschen des Zertifikatsspeicher von Windows und OS X Abhilfe schaffen. Wie das geht, beschreibt GlobalSign kompakt auf einer Hilfe-Seite.
Quelle: Globalsign