Windows: Achtung bei abgelaufenen Zertifikaten, nicht löschen

[English]Ich hole nochmals ein abgehangenes Thema ‚ablaufende Zertifikate‘ hoch. Zum Jahresende laufen teilweise Root-Zertifikate ab. Diese dürfen unter Windows aber keinesfalls gelöscht werden, da es andernfalls zu Problemen kommt.


Anzeige

Kurzer Rückblick zum Thema

Besitzer von Geräten, die keine Updates mehr bekommen, stehen vor dem Problem, dass dort u.U. digitale Zertifikate ablaufen. Ich hatte im Blog-Beitrag Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits bereits im Sommer 2020 darauf hingewiesen, dass für Smartgeräte wie Smart TVs, Kühlschränke oder andere IoT-Devices (Smart Speaker, Thermostate etc.) ein bitteres Ende drohen könnte. Als im Mai 2020 das AddTrust External CA [Certificate Authority] Root ablief, funktionierten plötzlich verschiedene Geräte nicht mehr. Auch Besitzer älterer Smartphones und Tablet PCs erhalten keine Updates und damit auch keine aktualisierten Zertifikate mehr.


Zum Jahreswechsel 2020/2021 laufen Root-Zertifikate aus

(Zum Vergrößern zwei Mal anklicken)

Ich hatte im Blog-Beitrag Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020 darauf hingewiesen, dass unter Windows zum Jahreswechsel einige Zertikate ablaufen. Blog-Leser Karl hatte auf Twitter diese Frage aufgeworfen.

Microsoft: Abgelaufene Zertifikate nicht löschen

Blog-Leser Alexander Meckelein hat in diesem Kommentar auf eine Information aus dem Microsoft-Universum hingewiesen, die die Kollegen von Bleeping Computer in diesem Artikel thematisiert haben. Bereits im September 2020 hat Microsoft das Dokument Required trusted root certificates veröffentlicht hat. Dieser Artikel listet die vertrauenswürdigen Stammzertifikate auf, die von Windows-Betriebssystemen für die korrekte Ausführung benötigt werden.

Der Beitrag selbst ist schon extrem merkwürdig, galt er sich doch ursprünglich für Windows 7 Service Pack 1 und Windows Server 2012 R2, weist aber das Revisionsdatum 8. September 2020 auf. Die Tabellen mit den von den Betriebssystemen benötigten Root-Zertifikaten beziehen sich aber auf Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2.

Alle diese Betriebssystemversionen sind aus dem Support gefallen, wenn Microsoft auch für Windows 7 SP1 / Windows Server 2008 R2 noch das Extended Support Update-Programm anbietet. Und einige im Dokument erwähnte Zertifikate sind längst abgelaufen. Administratoren könnten auf die Idee kommen, diese abgelaufenen Root-Zertifikate aus dem System zu entfernen, um quasi Hausputz zu halten.

Der springende Punkt, der in diesem Artikel aber ans Tageslicht kommt, ist die Aussage: Die Stammzertifikate, die im Dokument als notwendig und vertrauenswürdig aufgeführt werden, sind für den korrekten Betrieb des Betriebssystems erforderlich. Das Entfernen dieser Zertifikate könnte die Funktionalität des Betriebssystems einschränken oder zum Ausfall des Computers führen. Daher dürfen auch abgelaufene Zertifikate nicht aus dem Windows-Zertifikatsspeicher entfernt werden. Denn diese Zertifikate sind für die Abwärtskompatibilität erforderlich. Solange abgelaufene Zertifikate nicht widerrufen werden, können sie verwendet werden, um alles zu validieren, das vor ihrem Ablaufdatum signiert wurde Sollte man bezüglich dieses Themas im Hinterkopf behalten.

Ähnliche Artikel:
Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits
Windows 10 vergisst Zertifikate beim Upgrade
Autsch: Let’s encrypt zieht 3 Millionen Zertifikate zurück
Surface RT/Surface 2: Update KB4516067 legt Zertifikate lahm
TLS-Zertifikate nach Shutdown der US-Regierung ausgelaufen
Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Windows abgelegt und mit Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Windows: Achtung bei abgelaufenen Zertifikaten, nicht löschen

  1. David sagt:

    Danke für den Tipp!

  2. Stephan sagt:

    Man sollte die sowieso nicht löschen, wenn man zum Beispiel Mailsignaturen aus der Vergangenheit noch prüfen will.

  3. Anonymous sagt:

    Ich denke dass ’normale‘ Benutzer mit dem Thema Zertifikate ohnehin teilweise überfordert sind. Mir fällt da im Bekanntenkreis jetzt spontan niemand ein, der auf die Idee kommen könnte mal schnell Root-Zertifikate aus dem Speicher zu löschen. Geschweige denn das überhaupt zu finde . Die Gefahr ist eher theoretisch. 😂

    • Günter Born sagt:

      Die Leute von Bleeping Computer hatten (weil jemand von denen bei mir auf den initialen Artikel zum Zertifikateablauf gestoßen war) bei Microsoft nachgefragt. Als Antwort kam der Verweis auf das oben erwähnte Dokument, keine Zertifikate zu löschen.

      Und nein, ich hatte nicht den Anwender, der nicht mal weiß, welches Windows er hat, im Hinterkopf. Der Artikel hatte Power User und Admins auf dem Radar, die vielleicht aus Langeweile am 1. Januar 2021 auf die Idee kommen könnten ‚Hausputz bei ihren Stammzertifikaten‘ auszuführen ;-).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.