SSL/TLS ist die Grundlage inzwischen der meisten Webseiten. Die Übertragung wird dabei verschlüsselt, und um sicherzugehen, dass Sie auch mit dem echten Webserver kommunizieren, beweist dieser seine Identität mit einem sog. SSL-Zertfikat.
Das Zertifikat ist ähnlich eines Personalausweis: Es ist auf einen bestimmten (Server-)Namen ausgestellt und enthält Fingerabdrücke, um das auch überprüfen zu können. Es ist von einer vertrauenswürdigen Stelle ausgestellt worden, und es hat ein Gültigkeitsdatum. Die vertrauenswürdige Stelle wiederum genießt ihr Vertrauen ebenfalls durch ein SSL-Zertifikat, das von einer übergeordneten Stelle signiert wurde. Dieses ebenfalls, und am Ende dieser sog. Zertifikatskette befindet sich ein sog. root-Zertifikat, dessen Identätsnachweis in Ihrem PC oder Ihrem Browser "eingebaut" ist und dem Ihr Browser darum vertraut.
Auch diese Zwischen- und root-Zertifikate haben Gültigkeitsdaten, und wenn ein solches Zertifikat abläuft, dann werden auch die mit diesem Zwischenzertifikat signierten Webseiten eine Fehlermeldung anzeigen. Um bei dem Personalausweis zu bleiben: Der neuste Personalausweis nützt nichts, wenn das Dienstsiegel der ausstellenden Behörde als abgelaufen gilt. Üblicherweise werden durch Browser- und Betriebssystemupdates entsprechend neue Zertifikate ausgerollt.
Und genau das ist am 31.05.2020 passiert: Eines der übergeordneten Zertifikate, die Sectigo (ehem. Comodo, einer der größten SSL-Zertifizierungsstellen) nutzt, ist ausgelaufen. Das passiert regelmäßig, allerdings gab es in diesem Fall technisch ein paar Besonderheiten, die zufällig rund um die DRK-Produkte Auswirkungen haben.
Konkret betraf dies in erster Linie den Zugriff aus dem DRKCMS heraus auf die Webservices, die die DRK Service GmbH zentral bereitstellt (Angebotsfinder/DLDB, Kurstermine, Spendenformulare, ...), als auch unser Produkt Onlinespeicher, das Sie sich im DRKCMS als Laufwerk einbinden und für Bildarchive etc. nutzen können.
In beiden Fällen passierte es, dass einerseits der jeweilige Serverdienst (Webservice bzw. Onlienspeicher) ein betroffenes Zertifikat ausgeliefert hat. Und gleichzeitig der jeweilige Webserver (das betraf unsere TYPO3-Server, betrifft aber auch zahlreiche andere Hoster) Probleme hatten, die Zertifikatskette aufzulösen. In der Folge war der Zugriff auf diese Produktkomponenten gestört und es kam im TYPO3 zu unklaren Fehlermeldungen.
Wir haben auf beiden Seiten (das Zertifikat auf den Onlinespeicher-Systemen einerseits ausgetauscht, die Zertifikatskette auf den TYPO3-Servern andererseits repariert) das Problem gelöst. Auch die DRK Service GmbH hat gestern noch sicherheitshalber ihr Zertifikat ausgetauscht.
Wenn Sie von einem selbst betriebenen Server weiterhin Probleme mit dem Zugriff auf betroffene Serverdienste haben, gehen Sie bitte wie folgt vor (Anleitung betrifft ubuntu/Debian-Systeme, andere Betriebssysteme abweichend):
- Bearbeiten Sie die Datei /etc/ca-certificates.conf
- Suchen Sie die Zeile "mozilla/AddTrust_External_Root.crt" und deaktivieren Sie diese, in dem Sie ein ! voranstellen
- Führen Sie das Kommando "update-ca-certificates" aus
Jetzt sollte Ihr Linux-System wieder in der Lage sein, automatisch die Zertifikatskette zu aktualisieren und zu prüfen.
Nachtrag 15:50 Uhr: Mit ein bisschen Verspätung hat auch die Presse mitbekommen, dass es an einigen Stellen rumpelt.