Zertifikatsprobleme bei Microsoft-Seiten

Noch ein kleiner Informationssplitter zu Microsoft Webseiten. Wie es ausschaut, sind die Zertifikate für einige Webseiten nicht mehr vertrauenswürdig, auch wenn die Zertifikate noch nicht abgelaufen sind.


Anzeige

Azure Websites-Zertifikat

Ich bin vor einigen Stunden bei Twitter auf diesen Tweet diesen Tweet von Tero Alhonen gestoßen. Das Wildcard-Zertifikat *.azurewebsites.net wird dort als nicht vertrauenswürdig eingestuft

Es scheint eine fehlerhafte Zertifikatszuweisung im PWA-Builder zu sein auf , wie Alhonen hier schreibt. Sicherheitsforscher Troy Hunt hat übrigens hier in einem Artikel beschrieben, wie er über sslforall ein Zertifikat für azurewebsites.net erstellt und hochgeladen hat.

Microsoft Account-Seite nutzt ein altes Zertifikat

Die zweite Meldung betrifft das Zertifikat für , welches im Google Chrome als unsicher eingestuft wird.

Zertifikat accountservice.microsoft.com abgelaufen

Das Zertifikat ist zwar gültig, aber zum 10 Mai 2017 abgelaufen, wie ssllabs.com anzeigt. Das Ganze ist am 13. April 2018 von Eitan Caspi auf seclists.org gemeldet worden. Warum Microsoft das Zertifikat nicht erneuert oder die URL deaktiviert ist mir aber nicht bekannt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Internet, Microsoft, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Zertifikatsprobleme bei Microsoft-Seiten

  1. Herr IngoW sagt:

    Was ist den das für eine Seite, die Account-Seite für das MS-Konto ist diese: https://account.microsoft.com
    Die hat keine Probleme.

    • Ralph sagt:

      Und was hat der von Dir erwähnte Apfel mit der von Günter erwähnten Birne zu tun? Richtig: nichts.

    • Günter Born sagt:

      Keine Ahnung – aber im Sinne von Hygiene: Entweder wird die genannte Seite nicht mehr gebraucht. Dann sollte sie abgeschaltet werden. Oder sie muss aus Kompatibilitätsgründen weiter online bleiben. Dann sollte das Zertifikat erneuert werden – denn spätestens, wenn Funktionen, die auf das Zertifikat angewiesen sind, streiken, geht die Fehlersuche los.

  2. deoroller sagt:

    Gerade ist das Arcor / Vodafone Sicherheitszertifikat für Mail abgelaufen.

    Das kriege ich zu sehen, wenn das Mailprogramm das Konto abfragt:

    • Dekre sagt:

      Toll, musste heute auch aushelfen. Ich wusste, dass es mehrere betrifft. Es war das Zertifikatsproblem mit pop3.arcor.de.

      Bei Office 2010 / Win10 kam heute „Internetsicherheitswarnung … Der Zielprinzipal ist falsch …“
      Das Zertifikat ist gültig bis 18.04.2019. Habe dann das Zertifikat installiert.
      Es betrifft wohl alle arcor-Konten (ehemals – neu Vodafone, da arcor- mitgenommen).
      Ich gehe mal das von aus, dass es ab heute mächtig neue Interneteinträge sich dazu finden lassen.
      Jörg Schieb hat hierzu damals schon in 2013 eine gute Anleitung gegeben:

      https://www.schieb.de/722377/outlook-fehler-meldung-zielprinzipalname-ist-falsch-beheben

      Das mit den Zertifikaten geht mir mächtig auf die Ketten. Als Endnutzer können wir es nicht überprüfen, es gibt
      # gefälschte, die funktionieren
      # nicht gefälschte, die nicht funktionieren
      # richtige, die nicht erkannt werden
      # abgelaufene, die erkannt werden
      # abgelaufene, die funktionieren
      # Browser, die gültige und koschere rausschmeißen
      # Browser die ungültige und koschere rausschmeißen
      # Browser die gefälschte durchlassen
      # u.v.a.m.
      Sicherheit bietet der Zertifikatsschnulli auf alle Fälle nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.