OCSP-Server des BIT offline - warum tut niemand was?

Das Bundesamt für Informatik betreibt eine eigene Zertifizierungsstelle für TLS-Zertifikate. Beziehungsweise sollte betreiben. Denn seit einiger Zeit ist der sogenannte OCSP-Server nicht mehr erreichbar, wie Golem.de meldet. Das Problem: ohne OCSP-Server können die Zertifikate keiner Gültigkeitsprüfung unterzogen werden. Vor jeder Verbindung zu einer HTTPS-Webseite sollte das Zertifikat online geprüft werden. Wie lange der Server bereits offline ist, ist unklar. Es dürften aber mehrere Wochen sein, wie diesem Beitrag zu entnehmen ist. Wie «Golem.de» schreibt, reagiert das BIT zu Beginn gar nicht. Immerhin habe ein Mitarbeiter von Verizon mittlerweile berichtet, dass das BIT ihm zugesagt habe, sich schnell um den Vorfall zu kümmern. Uns sagte Sonja Uhlmann-Haenni, Leiterin Direktionsstab und Mediensprecherin BIT auf Anfrage, dass der Server am Mittwoch wieder online sei. Mehr Informationen zum Problem hatte sie im ersten Moment nicht. Diverse Webseiten der Schweizer Verwaltung nutzen diese Zertifikate, unter anderem www.ch.ch. Ob ein solcher OCSP-Server überhaupt Sinn macht, wenn nicht auffällt, dass er mehrere Wochen ausfällt und Meldungen diesbezüglich offenbar nicht die höchste Priorität zugemessen wird, ist fraglich. Kommt hinzu, dass alle Browser das Prüfungsverfahren nur in einer unsicheren Form implementiert haben und Chrome die Gültigkeitsprüfung über OCSP bereits abgeschaltet hat. Der Grund: Würden Browser im Falle eines nicht erreichbaren OCSP-Servers die Verbindung abbrechen, gäbe es viele Fehlalarme, da die Zertifizierungsstellen häufiger ihre Server nicht zuverlässig betreiben «schreibt Golem.de». Auch sogenannte Captive-Portale, die in öffentlichen WLAN-Netzen den Besucher zunächst auf eine Login-Seite umleiten, würden mit erzwungener OCSP-Prüfung nicht mehr funktionieren.