Ich erzähle ja schon seit Jahrzehnten, dass Security-Zertifizierungen nicht nur wertlos sondern sogar ein Indikator für schlechte Security sind. Wer das macht, kümmert sich nicht um Security sondern um Checkboxen und Compliance-Listen.
Ein aktueller Fall illustriert das ganz gut: SuSE Linux Enterprise Server 15 SP4 hat eine BSI-Zertifizierung gekriegt [0]. Ausgestellt am 15.12.2023.
Die benutzen OpenSSL 1.1.1. Das war zu dem Zeitpunkt bereits seit Monaten End-of-Life [1]. Das steht auch im auf Dezember 2023 datierten Report drin [2], dass sie OpenSSL 1.1.1 verwenden.
Deren OpenSSH hat glaube ich auch noch keine Post-Quantum-Crypto drin. Weiß da jemand genaueres? War jedenfalls nicht Teil des Tests.
So, meine Damen und Herren, sieht Compliance-Sesselfurzerei aus. Kostet viel Geld, bringt weniger als nichts.
Wenn sich bei euch jemand damit bewirbt, dass er ein BSI-CC-Zertifikat habt, dann wisst ihr hoffentlich spätestens ab jetzt, was ihr von dem zu halten habt.
[0] https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/CC/Betriebssysteme/1213.html
[1] https://www.openssl.org/blog/blog/2023/03/28/1.1.1-EOL/index.html
[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/Reporte1200/1213b_pdf.pdf?__blob=publicationFile&v=2
https://blog.fefe.de/?ts=9b02f7cd