Wer seit Dienstagabend versuchte, die von Bundeskanzleramt und Innenministerium eingerichtete Informationsseite über den Staatsbürgerschaftstest – staatsbuergerschaft.gv.at – aufzurufen, sah sich häufig mit einer Fehlermeldung konfrontiert. Der Browser meldete eine potenziell unsichere Verbindung aufgrund des zur SSL-Verschlüsselung genutzten Zertifikats, das ein Risiko für die über die Verbindung laufenden Daten darstellt.

Zwang man den Browser, den Auftritt trotz der Warnung zu laden, so landete man auf einer Fehlerseite (404). Laut einem Leserhinweis bestand dieses Problem mindestens seit dem späteren Dienstagabend, circa 21.30 Uhr und wurde nach einer Anfrage des STANDARD am Donnerstagnachmittag gelöst.

Fremdes SSL-Zertifikat

Das beim Aufruf der Seite abgefragte SSL-Zertifikat war nicht der eigentlichen Domain zugewiesen, sondern gehörte zum Webauftritt von Sport-Attack. Die Seite war zwischenzeitlich auch immer wieder problemlos – allerdings ohne SSL-gesicherte Verbindung – abrufbar war, nur um bald darauf wieder vom Zertifikatsproblem ereilt zu werden.

Getestet wurde der Zugriff zum Ausschluss providerseitiger Einflüsse oder browserspezifischer Probleme über zwei Verbindungen (Magenta und 3) und zwei Browser (Firefox und Chrome) sowohl via Smartphone und Desktoprechner.

Ursache bleibt vorerst rätselhaft

Das gemeinsam mit dem Innenministerium für den Auftritt verantwortliche Bundeskanzleramt äußerte sich gegenüber dem STANDARD so zur Situation: "Die Seite wurde bereits vor dem Jahr 2017 in Betrieb genommen. Sie verfügte bisher über kein Zertifikat, einerseits weil es zum damaligen Zeitpunkt nicht unbedingt 'state of the art' war, andererseits aber auch, weil keine Formulare befüllt wurden/werden ([es ist] also kein Sicherheitsgrund gegeben). Da diese Verschlüsselungsform aber mit HTTPS-Zertifikaten nunmehr üblich ist, wird die Umstellung nachgeholt werden."

Auf Nachfrage, wieso das Zertifikat einer fremden Webseite ausgestellt wird, heißt es aus dem Innenministerium, dass die Webseite aus historischen Gründen auf einem Shared Host bei einem externen Anbieter bereitgestellt werde, die Unterscheidung erfolgt auf Grund der eingegebenen Web-Adresse. Da kein HTTPS aktiviert und konfiguriert war, versuchte der Hostserver ein Zertifikat auszuliefern – "und liefert als 'Ersatz' ein Zertifikat einer anderen am Server gehosteten Seite aus. Dieses korreliert natürlich nicht mit der aufgerufenen Seite – es erscheint eine entsprechende Fehlermeldung", so ein Sprecher des Ministeriums.

Die Lösung besteht in der angekündigten Implementierung von HTTPS. Dazu wird nun ein korrekt ausgestelltes Zertifikat der "Let's Encrypt"-Initiative verwendet. (muz, gpi, 17.6.2021)