Sperrung des fehlerhaften DFN-PCA-Zertifikats vom 11.02.2014

Bekanntermaßen gibt es inzwischen drei verschiedene DFN-PCA-Zertifikate im Sicherheitsniveau Global, ausgestellt im:

  • Dezember 2006 (mit SHA-1 signiert)
  • Februar 2014 (von T-Systems fehlerhaft produziert)
  • Juli 2014 (mit SHA-256 signiert)

Siehe hierzu auch: https://www.pki.dfn.de/root/globalroot/

Nach einer langen Frist wurde das fehlerhaft produzierte DFN-PCA-Zertifikat vom Februar 2014 von der T-Systems inzwischen gesperrt, und zwar am 07.02.2016. Die dazugehörige Sperrliste und die Einträge im OCSP-Responder wurden allerdings erst am 16.02.2016 veröffentlicht.

Betroffen sind Zertifikatinhaber, die zwischen Mitte Mai
2014 und Juli 2014 ein neues Zertifikat ausgestellt bekommen haben, und selbst die Zertifizierungskette von den Antragsseiten in ihre Software importiert haben. Dort besteht eine gewisse Wahrscheinlichkeit, dass noch dieses fehlerhafte DFN-PCA-Zertifikat installiert ist, und zu Problemen führt.

Möglicherweise auftretende Schwierigkeiten sind z.B.:

  • Bei Serverzertifikaten: Ablehnung eines Verbindungsaufbaus insbesondere durch Microsoft-Browsern
  • Bei Nutzerzertifikaten: Ungültige Signaturen unter E-Mails.

Allerdings sollte in den meisten Fällen Anwendungssoftware wie Thunderbird oder Outlook das aktuelle, gültige DFN-PCA-Zertifikat zwischenzeitlich über andere Wege, z.B. eingehende signierte E-Mails, installiert haben, so dass diese Probleme eben nicht auftreten.

Das gesperrte DFN-PCA Zertifikat hat die folgenden Merkmale:

Name: C=DE, O=DFN-Verein, OU=DFN-PKI, CN=DFN-Verein PCA Global - G01
Ausstellungsdatum ("notBefore"): Feb 11 13:11:45 2014 GMT
Seriennummer: 9912441563214940059 bzw. hexadezimal 89:90:11:15:58:3e:87:9b
SHA1 Fingerprint:
2E:EF:D9:C0:99:A2:BB:1C:2B:AC:52:97:BD:FF:D8:C8:55:71:5D:B8
SHA256 Fingerprint:
A8:C6:43:93:9C:FB:4C:8E:4E:13:53:56:2D:32:5B:A0:DB:9E:A3:81:27:1A:C6:0D:4C:41:1D:BF:7F:8F:3E:F0

Betroffene Zertifikatinhaber sollten dieses gegen das DFN-PCA-Zertifikat vom Juli 2014 austauschen. Hierzu muss das aktuelle zu verwendende, gültige Zertifikat der DFN-PCA in die Anwendungssoftware geladen werden, z.B. über einen der nachfolgenden Links:

Überblick: https://www.pki.dfn.de/root/globalroot/

Direkt-Links:

PEM-Format: https://pki.pca.dfn.de/global-root-ca/pub/cacert/cacert.pem

DER-Format: https://pki.pca.dfn.de/global-root-ca/pub/cacert/cacert.der

CRT-Format: https://pki.pca.dfn.de/global-root-ca/pub/cacert/cacert.crt

Merkmale:

Name: C=DE, O=DFN-Verein, OU=DFN-PKI, CN=DFN-Verein PCA Global - G01
Ausstellungsdatum ("notBefore"):  Jul 22 12:08:26 2014 GMT
Seriennummer: 5786781327811523684 bzw. hexadezimal 50:4e:c6:f5:3d:11:b4:64
Fingerprints:
SHA1 Fingerprint:
F4:C5:38:C3:BB:99:4F:13:F8:FD:C2:40:B6:79:A6:4B:19:34:A1:B5
SHA256 Fingerprint:
4D:BD:93:C9:C8:60:1C:B6:44:A8:A8:83:0C:CD:AB:B3:68:E7:81:EA:E4:8C:FD:1F:F5:3E:CC:45:F5:36:39:81

Bei Fragen hierzu wenden Sie sich gerne an dfnpca@dfn-cert.de.

(jbr, 18.02.2016)