Das Bundesamt für Informatik und Telekommunikation (BIT) betreibt eine eigene Certificate Authority (CA), um Echtheitszertifikate ausstellen zu können (z.B. für Webseiten). An sich nichts Ungewöhnliches, die Piratenpartei Schweiz macht das auch. Doch offenbar entspricht das Verfahren des BIT nicht den üblichen Standards, weshalb es das Bundesamt bisher nicht als vertrauenswürdige Stelle in den Firefox (und wahrscheinlich andere Clients) geschafft hat.

Das BIT stand 2010 vor dieser Situation und musste eine Lösung finden. Nun gibt es grundsätzlich zwei Möglichkeiten, Probleme zu lösen:

1. Entweder man bekämpft die Auswirkungen oder
2. man behebt die Ursache.

Wahrscheinlich überrascht es niemanden, dass sich das BIT für die Pflästerli entschieden hat. Statt den Prozess zu modernisieren, hat es im Jahr 2010 ihr Zertifikat einfach von Verizon (ein US-Unternehmen) „cross-signen“ lassen.

Dass die Authentizität von verschiedenen Diensten der Schweizer Bundesverwaltung von einem Unternehmen aus den USA bestätigt wird, ist das eine. Das andere ist, dass dieses „Cross-signing“ alle drei Jahre erneuert werden muss. Das nächste mal morgen. Das BIT hat gemäss internem Schreiben denn auch versucht, das zu erreichen. Doch da es nach wie vor an den unüblichen Praktiken von 2010 festhält, hat Verizon dies verweigert.

Das BIT sagt in einem Schreiben vom 30. Oktober wörtlich, dass es zur Zeit keine Lösung anbieten kann – die Betreiber der betroffenen Dienste sollen auf Drittanbieter ausweichen. Ob die das so kurzfristig schaffen werden? Ich habe da so meine Zweifel. Auf jeden Fall ist es ziemlich peinlich, wie unbeholfen das BIT hier vorgeht.