Microsoft aktualisiert Trusted Root Certificate

2016 ist es so weit, Microsoft beginnt damit, sein Microsoft Trusted Root Certificate Programm zu renovieren. Hier ein paar Infos und Hinweise, was dahinter steckt und was das bedeutet.


Anzeige

Ein wenig Grundwissen

Wenn im Internet Daten per SSL-Verschlüsselung über das https-Protokoll übertragen werden, sind Zertifikate im Spiel. Der Webserver weist sich gegenüber dem Client (Browser) mittels eines Zertifikats aus. Hier ist die betreffende Anzeige bei der https-Verbindung der Ing-Diba im Google Chrome zu sehen (erscheint beim Klicken auf den grünen Teil des Adressfelds).

Um diese Verbindung mit dem Server per HTTPS abzusichern, muss der Client aber wissen, dass das betreffende Zertifikat auch vertrauenswürdig ist. Hierzu verwalten Windows, Mobilegeräte-Betriebssysteme etc. sogenannte Root-Certificates (CAs), die bei Windows im Zertifikatespeicher stecken.

Unter Windows kann man eine administrative Eingabeaufforderung (über Als Administrator ausführen) öffnen und dann den Befehl certmgr.msc eingeben. Dann wird der im vorherigen Screenshot sichtbare Zertifkatemanager gestartet, der den Inhalt des Zertifikatespeichers auflistet. Dort gibt es auch Funktionen, um Zertifikate zu entfernen oder zu deaktivieren.

Wichtig ist bei Zertifikaten also, dass diese gültig sind. Dann können weitere Zertifikate von den Root CA-Zertifikaten (Stammzertifkaten) abgeleitet werden. Zertifikate können aber auch ungültig werden, indem diese ablaufen oder vom Aussteller zurückgezogen werden.

Zudem wird 2016/2017 die Unterstützung für den SHA-1-Algorithmus in Browsern zurückgezogen. Ich hatte das im Artikel Knipst der Wechsel zu SHA-2 “das Web” aus? angerissen und in diesem Artikel macht man sich zu diesem Thema ebenfalls Gedanken.

Microsoft renoviert das Trusted Root Certificate Program


Anzeige

Um die Vertrauenswürdigkeit der Stammzertifikate (Root CAs) zu gewährleisten, müssen die Aussteller (Certificate Authorities, CAs) eine bestimmte Zertifizierung durchlaufen, um von Microsoft berücksichtigt zu werden. Letztes Jahr hat Microsoft daher Gespräche mit den betreffenden Ausstellern geführt. Einige Aussteller werden nicht länger im Microsoft Trusted Root Certificat Program vertreten sein. Die betreffenden Zertifikate werden daher Anfang 2016 aus dem Zertifikatespeichern von Microsoft Betriebssystemen entfernt.

  • Nutzer, die dann über Clients (Browser, Messenger, E-Mail-Clients etc.) Server kontaktieren, die zur https-Absicherung ein Zertifikat verwenden, die auf einem der entfernten Root CAs basiert, erhalten dann einen Hinweis, dass es ein Problem mit dem Sicherheitszertifikat gibt.
  • Entwickler, die Anwendungen oder Apps mit einem solchen Zertifikat signieren, laufen ebenfalls in eine Falle. Wenn Anwender diese Software installieren möchten, wird eine Warnung ausgegeben, dass der Quelle nicht vertraut wird. Dann muss der Nutzer entscheiden, ob er fortfährt.

Das ist eigentlich nichts besonderes, man sollte das als Entwickler oder Betreiber von Webservern oder ggf. Endanwender wissen und entsprechend reagieren. Hinzu kommt, dass ab 2016 der SHA-1-Algorithmus nicht mehr zur Absicherung neuer Anwendungen verwendet werden kann (siehe Abschied von SHA-1 in 2016 heißt reagieren …).

Microsoft hat bereits Mitte Dezember 2015 den Beitrag Microsoft updates Trusted Root Certificate Program to reinforce trust in the Internet zum Thema publiziert. Bei Dr. Windows hat Martin Geuß diesen deutschsprachigen Beitrag mit ein paar Informationen zum Thema publiziert. Falls also demnächst eine Zertifikatswarnung im Browser oder bei Software auftaucht, gilt es abzuwägen, ob man der Verbindung oder dem Installer trotzdem vertraut.

Ähnliche Artikel:
Abschied von SHA-1 in 2016 heißt reagieren …
Microsoft aktualisiert Trusted Root Certificate
Nachlese zum Microsoft Dezember 2015-Patchday
Zertifikate-Update für Mac OS X 10.6 (Snow Leopard)
Microsoft Security-Advisory 3119884 zu Dell-Zertifikaten
CA-Zertifikat für Bluetooth auf Lenovo-Rechnern
Windows Update durch ungültige Zertifikate blockiert
Apple vergisst Zertifikaterneuerung für Mac App Store


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit, Windows abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Microsoft aktualisiert Trusted Root Certificate


  1. Anzeige
  2. Günter Born sagt:

    Kleine Info aus dem weiteren Umfeld: Beim Webhoster Hetzner wurden offenbar gleiche SSH-Schlüssel auf verschiedenen Servern verwendet – wodurch Angreifer SSH-Sessions entschlüsseln könnten: Details finden sich in diesem heise.de-Artikel.

  3. Herr IngoW sagt:

    Hallo
    der Link “Martin Geuß diesen deutschsprachigen Beitrag” ist der gleiche wie “Microsoft updates Trusted Root Certificate Program to reinforce trust in the Internet” also zum MS-Artikel.
    Ansonsten interessant mal sehen ob alles klappt.

  4. Anzeige

  5. Pingback: Anonymous

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.