Beim Blick in meinen Windows-Zertifikatspeicher bin ich jedesmal irritiert. Heute habe ich einmal durchgezählt, wieviele "Vertrauenswürdige Stammzertifizierungsstellen" DATEV hat. Ich bin auf 84 Einträge gekommen (in Worten: vierundachtzig).
Zum Vergleich: große internationale Zertifikatsanbieter kommen im Lauf der Jahre auf zwei oder drei dieser Einträge. Technische Änderungen machen manchmal neue Stammzertifikate nötig, etwa der Umstieg von SHA-1 auf SHA-256.
Jetzt frage ich mich: Hat die DATEV das Prinzip der Zertifikatsinfrastruktur nach dem X.500- bzw. X.509-ITU-Standard vielleicht nicht verstanden? Es lautet vereinfacht: Es gibt EINE Stammzertifizierungsstelle, die untergeordnete Zertifikate signiert (Zwischenzertifizierungsstellen oder direkt Anwendungszertifikate), und die allein mit Vertrauen ausgestattet werden muß.
Es reicht nach diesem Standard, wenn die DATEV ein einziges Stammzertifikat benutzt, das alle anderen Zertifikate signiert (oder auch deren durch Signatur ausgedrücktes Vertrauen widerruft).
Dieser Standard ist nicht dafür gedacht, 84 eigene Stammzertifizierungsstellen in Windows einzunisten. Wer soll so ein Zertifikat im Fall der Korruption widerrufen? Wer soll den Überblick behalten?
Durch diese schlechte Angewohnheit kommt es auch dazu, daß die Mails, die DATEV mit eigenen Zertifikaten signiert, immer wieder als falsch unterschrieben angezeigt werden, obwohl der Mailclient einige der Stammzertifikate kennt. Leider kennt er das entscheidende der 84 offenbar nicht.
Dazu würde mich wirklich einmal eine technisch fundierte Auskunft von DATEV interessieren.
Hier einmal ein Screenshot aus meinem Windows-Zertifikatspeicher (alle passen gar nicht drauf):
