Zumindest von Dienstag, 21.50 Uhr, bis Mittwoch, 15.30 Uhr, war das "Mein Österreich"-Portal aufgrund eines Zertifikatsproblems nicht erreichbar. Foto: DER STANDARD/Pichler

Wer seit Dienstagabend versucht, die von Bundeskanzleramt und Innenministerium eingerichtete Informationsseite über den Staatsbürgerschaftstest – staatsbuergerschaft.gv.at – aufzurufen, sieht sich häufig mit einer Fehlermeldung konfrontiert. Der Browser meldete eine potenziell unsichere Verbindung aufgrund des zur SSL-Verschlüsselung genutzten Zertifikats, das ein Risiko für die über die Verbindung laufenden Daten darstellt.

Zwingt man den Browser, den Auftritt trotz der Warnung zu laden, so landet man auf einer Fehlerseite (404). Laut einem Leserhinweis besteht dieses Problem mindestens seit dem späteren Dienstagabend, circa 21.30 Uhr.

Screenshot der Fehlermeldung vom 16.6., circa 15.15 Uhr (Windows 10, Firefox, Magenta). Foto: Screenshot

Fremdes SSL-Zertifikat

Das beim Aufruf der Seite abgefragte SSL-Zertifikat ist nicht der eigentlichen Domain zugewiesen, sondern gehört zum Webauftritt von Sport-Attack, dem Entwickler der Bewegungs-App Train@Game. Das Problem bestand auch am Donnerstagnachmittag (Stand 14 Uhr) weiter, wobei die Seite zwischenzeitlich auch immer wieder problemlos – allerdings ohne SSL-gesicherte´ Verbindung – abrufbar war, nur um bald darauf wieder vom Zertifikatsproblem ereilt zu werden.

Getestet wurde der Zugriff zum Ausschluss providerseitiger Einflüsse oder browserspezifischer Probleme über zwei Verbindungen (Magenta und 3) und zwei Browser (Firefox und Chrome) sowohl via Smartphone und Desktoprechner.

Ursache bleibt vorerst rätselhaft

Das für den Auftritt verantwortliche Bundeskanzleramt äußerte sich gegenüber dem STANDARD bisher nur knapp zur Situation: "Die Seite wurde bereits vor dem Jahr 2017 in Betrieb genommen. Sie verfügte bisher über kein Zertifikat, einerseits weil es zum damaligen Zeitpunkt nicht unbedingt 'state of the art' war, andererseits aber auch, weil keine Formulare befüllt wurden/werden ([es ist] also kein Sicherheitsgrund gegeben). Da diese Verschlüsselungsform aber mit HTTPS-Zertifikaten nunmehr üblich ist, wird die Umstellung nachgeholt werden."

Screenshot der Fehlermeldung vom 17.6., 14 Uhr (Android 10, Chrome, Spusu). Foto: Screenshot

Aus der Antwort geht hervor, dass man die bisher nicht über HTTPS aufrufbare Seite mit einem SSL-Zertifikat ausstatten möchte. Die Situation ist damit allerdings nicht aufgelöst. Denn es bleibt weiter unklar, wie das SSL-Zertifikat einer fremden Website hier ins Spiel gekommen ist. Eine Nachfrage bezüglich dieses Umstandes wurde bereits übermittelt, die Antwort wird bei Einlangen nachgetragen. (muz, gpi, 17.6.2021)