Allen dank voor de reacties! Na verder onderzoek kom ik tot de volgende conclusies:
1)
https://community.t-mobile.nl/ stuurt wel degelijk een revoked intermediate certificate mee;
2) Er zijn veel meer servers dan genoemd in
https://www.ssllabs.com/ssltest/analyze.html?d=community.t-mobile.nl (ik kon sowieso 12 unieke IPv4 en 24 unieke IPv6 adressen vinden, indien gewenst post ik de adressen). Ik heb ze niet allemaal getest, maar vermoed dat ze allemaal dat revoked intermediate certificate meesturen;
3) Het feit dat tweaker "dutchminator" in
https://tweakers.net/nieuws/179090/t-mobile-deelde-herleidbare-locatiegegevens-met-cbs-voor-bouwen-van-algoritme.html?showReaction=15760826#r_15760826 en ssllabs (naast mij) ook certificate errors zien, betekent dat het niet alleen een probleem bij mij is;
4) Kennelijk checkt
Firefox desktop intermediate certs
niet op revocation, Firefox voor Android doet dat kennelijk
wel (daarom kreeg en krijg ik een foutmelding op mijn smartphone). Mijn excuses voor het feit dat ik ervan uitging dat ook Firefox desktop dat zou doen (ik vind het teleurstellend dat dit niet zo is, en ook kon ik er geen about:config instelling voor vinden). Ook had ik beter meteen kunnen melden dat ik Firefox op Android gebruikte, maar dit verschil verwachtte ik niet;
5) Als in Firefox voor Android (in elk geval de nightly versie) het nieuwe intermediate certificaat "voorbijkomt" zal ook deze versie van Firefox dat certificaat cachen, waarna een door de server meegestuurde (ingetrokken) versie van het certificaat wordt genegeerd en er geen foutmelding meer optreedt;
6) Op de volgende pagina's kun je respectievelijk het ingetrokken en het nieuwe intermediate certificaat bekijken:
https://de.ssl-tools.net/certificates/6036330e1643a0cee19c8af780e0f3e8f59ca1a3.txthttps://de.ssl-tools.net/certificates/15342bbb20b25efb48fda23b7b1fe5550b9560da.txtNaast het serienummer zijn dit de belangrijkste verschillen:
Oud: Not Before: Jun 1 13:35:05 2013 GMT
Nieuw: Not Before: Sep 22 19:15:59 2020 GMT
Toegevoegd aan nieuw, onder "X509v3 Certificate Policies:"
CPS: https://www.quovadisglobal.com/repository
Toegevoegd aan nieuw:
X509v3 Extended Key Usage:
TLS Web Client Authentication, TLS Web Server Authentication
Vermoedelijk is het certificaat opnieuw uitgegeven omdat de "Extended Key Usage" gegevens ontbraken (de public key is hetzelfde gebleven, anders had het servercertificaat ook vervangen moeten worden). Er lijkt dus geen sprake van een beveiligingsprobleem met het oude certificaat.
Door Anoniem: Zojuist een schone VM aangemaakt, firefox-esr gestart en naar de URL gegaan. Geen probleem gezien en gewoon een geldig certificaat.
Onder Windows heb ik Firefox ESR 78.8.0esr (64-bit) gestart met de commandline parameter -P en een nieuw profiel aangemaakt. Daarna heb ik
https://community.t-mobile.nl/ geopend, dit gaf inderdaad geen foutmelding. Echter, het intermediate certificaat is wel degelijk het ingetrokken certificaat:
Serial Number: 48:98:2D:E2:A9:2C:B3:39:E1:C8:F9:33:35:82:75:D3:E4:F8:82:55
SHA256: A4:87:9E:C0:F3:6C:F8:4B:6F:2E:D8:7A:E5:7E:E3:B9:4A:07:85:C6:86:22:38:CD:45:48:10:84:D1:52:EB:18
Als ik vanuit mijn gebruikelijke Firefox profiel
https://community.t-mobile.nl/ open, zie ik voor het intermediate certificaat:
Serial Number: 1A:6E:E8:93:C3:74:97:38:E1:2A:CC:C7:7A:8C:0A:CB:16:7E:AF:14
SHA-256: F6:7C:23:EF:7B:F7:41:28:09:DB:6B:1D:D3:D4:4A:08:D3:75:4D:99:CA:BA:6A:13:F7:A0:5C:72:49:08:9C:89
maar dat is
niet het certificaat dat door de server wordt meegestuurd (dat kan ik zien in Wireshark als ik TLS v1.3 uitzet in Firefox), dus kennelijk is het nieuwe certificaat door een andere site aan de certificate store in mijn gangbare profiel van Firefox toegevoegd (in de file "cert9.db" in dat profiel).
Door Roger63: Ik heb in Firefox 86.0 bij Clear Recent History alles weggegooid (alle vinkjes aan en Everything geselecteerd als time range; ruimt lekker op) en ben daarna naar de site gegaan: geen foutmelding. In de certificate viewer (Certainly Something extensie) zie ik het nieuwe intermediate certificaat en niet het gerevokete exemplaar dat in Firefox zelf zit.
Dank ook voor jouw hulp! Helaas verwijder je geen intermediate certificaten met het leeghalen van de browser cache. Sterker, het lukt mij niet eens om in mijn profiel "QuoVadis Global SSL ICA G2" (een "Software Security Device") te verwijderen (als ik een nieuw profiel in Firefox aanmaak, bestaat dat niet). D.w.z. dat verwijderen
lijkt te lukken, maar als ik opnieuw de certificate manager in Firefox open, is dat certificaat weer terug.
Conclusie:
https://community.t-mobile.nl/ stuurt een revoked intermediate certificaat mee, maar Firefox desktop checkt niet op revocation daarvan (Firefox voor Android wel). En als je toevallig een latere versie van een intermediate certificaat in de certificate store hebt, gebruikt Firefox dat en negeert kennelijk het meegestuurde intermediate certificaat.