Vertrauen ist alles, oder?
Die Fa. a.trust ist der einzige akkreditierte österreichische Zertifizierungsdiensteanbieter für die Sichere Digitale Signatur – und damit quasi Monopolist. Das Unternehmen unterwirft sich – gezwungener Maßen – hohe technische Ansprüchen:
Für die sichere Signaturerstellung ist allerdings ein weitaus größerer Bereich des technischen Environments und organisatorischer Abläufe zu analysieren. […] Die eingesetzte Technologie […] sind wesentliche Bestandteile der Sicherheitspolitik und somit immer unter den höchsten Ansprüchen des österreichischen Signaturgesetzes und der absoluten Berücksichtigung der verordneten Auflagen der staatlichen Aufsichtsstelle zu betrachten.Bernhard Lassy hat nun – zusammen mit den Gurus vom Firefox-Team, einen netten Bug in der OCSP-Implementierung der A.Trust aufgedeckt:
Das bedeutet für die a.trust im Detail, in folgenden Bereichen zu entsprechen:…
- bei den technischen Einrichtungen, die im Zusammenhang mit Zertifikaten zum Einsatz kommen
IMO, there are numerous RFCs being violated in this example. The TLS server is not sending a complete cert chain, and it appears to me that the OCSP responder is not using a certificate issued by the issuer of the TLS server’s cert.
RFC 2246 (TLS 1.0) requires the server to send a cert chain, starting with the server cert, with all the issuers certs up to, but optionally omitting, the root or „trust anchor” CA cert. The existence of AIA cert extensions in the server cert, by which it may be possible to fetch issuer certs, does not relieve the TLS server of its obligation to send a complete cert chain (minus the root).
…
Note that the RFC quoted above REQUIRES relying applications to enforce these rules.
Certain other products may not enforce the rules. The fact that an OCSP repsonder works with a product that does not enforce the rules is not an indication that the responder is working correctly in conformance to the relevant standards.
Seit April hat sich - zumindest im Forum nichts getan. Mal schaun, ob, wann und wie „das innovativste Trust-Center Europas” den doch ziemlich relevanten OCSP-Dienst auf Vordermann bringt. Schließlich braucht man den für e-government, telebanking, etc.
Dass sich bezüglich der Inkludierung der a.trust Stammzertifikate in den Firefox noch immer nichts wesentliches geändert hat, überrascht da auch nicht. Die bösen Grurus vom Firefox-Team hinterfragen aber auch alles.
Tagged as: a.trust, austria, certificates, rant, technology | Author: Martin Leyrer
[Dienstag, 20070717, 10:47 | permanent link | 0 Kommentar(e)
Comments are closed for this story.