Das kann jedem passieren
Die Seite https://ssl-tools.net/ ist eine Webseite, die vieles rund um Zertifikate prüft. Das macht sie gut, wenn auch Verbesserungsbedarf bei z.B. internen CAs besteht. Aber das ist Geschmackssache. Reale Fehler als valid auszuzeichnen ist allerdings keine Geschmacksfrage, sondern ein ernstes Problem. Akut führt die Seite es an sich selbst vor.
Zertifikate laufen aus
Im Gegensatz zu OpenPGP laufen die Zertifikate unter X.509 (aka SSL) nach einer festen Zeit aus. Bei DNSSEC ist das auch so, aber da ist der Erneuerungsprozess der Signaturen i.d.R. voll automatisiert, weil es alle Signaturen lokal erzeugt werden können. Bei X.509 muss man mit einem externen Partner regelmäßig zusammen arbeiten, um ein Zertifikat zu erneuern. https://letsencrypt.org schlägt deswegen ein Verfahren vor, diese Interaktion zu automatisieren und damit ähnlich leicht handhabbar zu machen, wie DNSSEC.
Aber bislang ist man meist immer noch mit den klassischen Zertifikaten unterwegs. Und hat sich um den regelmäßigen Austausch manuell zu kümmern. Das klappt nicht immer.
Heute schrie mein Webbrauser über fehlerhafte, weil abgelaufene Zertifikate von ssl-tools.net.
Reflexionen
Aber wie sieht sich die Seite selbst? Wird sie ebenfalls laut schreien und Warnungen anzeigen?
Oh, wirklich?
Das Zertifikatskästchen ist grün und vertrauenswürdig, aber in den Details steht was von seit 13 Stunden abgelaufen.
Ebenfalls witzig ist die Diskrepanz zwischen dem DANE-Kästchen (rot und böse) und den Details dort: valid.
Was ist denn nun bei DANE wirklich los? Alles rot oder alles grün? Was ist denn mit DNSSEC los?
Na das schaut ja gar nicht gut aus: Die gesamten DNSSEC-spezifischen Records (Signaturen) fehlen in der Zone!
Wie kann man da nur ein grünes valid hinschreiben?
Andere Sicht
Andere Testseiten wie https://www.ssllabs.com/ sind da wesentlich restriktiver: