Achtung: Zentrales Adobe CA-Zertifikat läuft am 7. Januar 2023 ab – kein Neuzertifikat für Perpetual Licensing Kunden!

Stop - Pixabay[English]Kurzer Hinweis für Nutzer bzw. Administratoren von Adobe Software mit unbegrenzter Lizenz (Perpetual Licensing Kunden). Ein Blog-Leser hat mich darauf hingewiesen, dass ein zentrales CA-Zertifikat auf Adobe AEM-Servern bzw. auf Adobe LiveCycle-ES-Servern abläuft. Ab dem 7. Januar 2023 werden eventuell noch genutzte Adobe Dokumenten-Server nicht mehr funktionieren. Und es soll keine Zertifikatserneuerung für Kunden geben, die kein Abo von Adobe haben. Keine Ahnung, ob jemand aus der Blog-Leserschaft als Administrator der oben genannten Server betroffen ist. Hier einige Informationen dazu.


Anzeige

Adobe AEM- und LiveCycle-ES-Server

Der Adobe Experience Manager (AEM) ist ein webbasiertes Client-Server-System zum Erstellen, Verwalten und Bereitstellen von kommerziellen Websites und zugehörigen Diensten. AEM lässt sich on-Premises auf Unternehmensservern installieren, steht aber auch als Cloud-Lösung zur Verfügung.

Der Adobe LiveCycle Reader Extensions ES (früherer Name: Adobe Reader Extension Server) ist ein Produkt von Adobe Inc., mit dem bestimmte Funktionalitäten des Adobe Reader freigeschaltet werden können. Standardmäßig erlaubt der Adobe Reader nur das Anzeigen und Ausdrucken von PDF-Dokumenten. Weitere Funktionen wie das Einfügen von Anmerkungen, das Speichern und Versenden ausgefüllter Formulare sowie die Erzeugung digitaler Signaturen sind im Reader vorhanden, können aber nur in Dokumenten genutzt werden, die hierfür speziell freigeschaltet wurden. ES steht für Enterprise Suite.

CA-Zertifikat läuft ab

Ein anonym bleiben wollender Blog-Leser hat sich gestern bei mir per Mail gemeldet und meinte, er habe eine Meldung für den Blog, die wohl auch für andere Admins von Adobe AEM-Servern bzw. von Adobe LiveCycle-ES-Servern von Bedeutung sein könnte (danke für den Hinweis). Die Quelle hat durch Zufall vor kurzem bei einem Software-Test festgestellt, dass ein im Unternehmen intern (zumindest bisher noch) genutzter Adobe Dokumenten-Server ab dem 7. Januar 2023 nicht mehr funktionieren wird.

Im Rahmen des Tests wurde der Server u.a. ein paar Monate in die Zukunft verfrachtet, was zur Folge hatte, dass diverse Server-Prozesse nicht mehr liefen. Die anschließende Analyse hat ergeben, dass am 7. Januar 2023 ein Zertifikat auf dem Server ausläuft, welches nötig ist, um sogenannte Reader Extension Rechte in PDF-Dokumenten zu aktiveren.


Anzeige

Bei diesen Reader Extension Rechten für PDF-Dokumente handelt es sich um eine Möglichkeit, in einem PDF-Dokument ein kryptografisch signiertes Flag zu setzen. Dieses Flag aktiviert für Adobe Reader Benutzer die Funktion, nicht nur ein PDF-Dokument im Adobe Reader auszufüllen, sondern auch das PDF-Dokument anschließend ausgefüllt abzuspeichern. Dies geht sonst nur mit dem kostenpflichtigen Adobe Acrobat Standard oder Professional geht.

Dicker Hund und Workaround

An dieser Stelle begann der Nutzer zu recherchieren und stieß auf der Adobe-Webseite auf den Beitrag Expiration of Reader Extensions certificates and its impact mit der Info, dass man dieses ARES-Zertifikat bis zum 7. Januar 2023 manuell auf dem Server erneuern soll. Ich ziehe mal den Text von Adobe heraus, falls der irgendwann verschwindet:

Adobe Experience Manager Forms (AEM Forms) customers with Adobe Managed Services or On-premise Enterprise Base licenses are entitled to use Acrobat Reader DC Extensions service. The service enables an organization to easily share interactive PDF documents by extending the functionality of Acrobat Reader with additional usage rights. The service adds usage rights to a PDF document and activates features that are not available when a PDF document is opened using Adobe Acrobat Reader, such as adding comments to a document, filling forms, and saving the document. Third-party users do not require additional software or plug-ins to work with rights-enabled documents. PDF documents that have usage rights added are called rights-enabled documents. A user who opens a rights-enabled PDF document in Acrobat Reader can perform the operations that are enabled for that document.

Adobe leverages a public key infrastructure (PKI) to issue digital certificates for use in licensing and feature enablement. Adobe has been issuing certificates under the certificate authority "Adobe Root CA", which is set to expire on January 7, 2023. A new certificate authority, "Adobe Root CA G2", and certificates based on the new certificate authority are now available.

Old certificates (certificates based on "Adobe Root CA") no longer work after January 7, 2023. Adobe recommends that you start using the new certificates — those based on "Adobe Root CA G2" — to Reader extend your PDF documents on or before January 7, 2023.

Zur Zertifikatserneuerung bietet Adobe eine manuelle Eingriffsmöglichkeit an, bei der aber ein Klops lauert. Der Blog-Leser formuliert es so:

Neben dem Problem, dass der Adobe AEM- bzw. LiveCycle-ES-Server ohne Vorwarnung am 7. Januar 2023 seinen Dienst quittieren wird (wenn man nicht vorher selber manuell eingreift), kommt nun aber noch ein weiterer dicker Hund:

Der Adobe-Support vertritt den Standpunkt, dass man als Besitzer einer Kauflizenz (Perpetual Licensing) kein neues Zertifikat zum Download bereitgestellt bekommt. Nur wer zusätzlich einen laufenden Support-Vertrag für das gekaufte Produkt bei Adobe hat, bekommt das neue Zertifikat zum Download im Lizenz-Portal angeboten. Wer keinen Support-Vertrag hat, soll sich eine neue subscription based Lizenz zusätzlich zu seiner schon vorhandenen Kauf-Lizenz holen!

Dazu schreibt Adobe:

You can obtain new certificates from the Adobe Licensing Website or Adobe Support.

All PDF documents, Reader extended using the older certificates before January 7th 2023, including the ones downloaded by your customers, would continue to work with all the usage rights that are applied to them, and do not require any updates.

Das ist schon mal gut. In einer FAQ auf der Webseite erläutert Adobe dann noch diverse Randbedingungen.

Q. How do I obtain the latest certificates?

A. All the entitled Forms Customers (with active license) can download the new certificates (certificates based on "Adobe Root CA G2") from the Adobe Licensing Website. If you are unable to find the certificate on Adobe Licensing Website, contact Adobe Support or raise a support ticket.

Das ist dann wohl der Knackpunkt – es ist eine "active license" erforderlich, um das Zertifikat zu bekommen. Dies geht wohl nicht für Kauflizenzen, die unbegrenzt gültig sind (perpetual licences). Der Blog-Leser schreibt dazu:

Das Ganze erinnert mich daran, wie Adobe vor einigen Jahren den Lizenzserver für die Creative Suite abgeschaltet hatte und man plötzlich sein gekauftes Softwarepaket nicht mehr neu installieren konnte.

Damals hat Adobe dann aber zumindest für CS2 eine Version zum Download angeboten, die keine Aktivierung gegen den Lizenz-Server mehr bedarf, sodass man zwar nicht mehr von den original CDs installieren konnte, aber man konnte zumindest über diesen Umweg die Software auf Basis der gekauften Lizenz weiterhin nutzen.

Error: Activation Server Unavailable | CS2 or older products, Acrobat 7

Where can I download my Creative Suite app?

Im aktuellen Fall scheint es sich meiner Meinung nach, aber wohl eher um geplante DRM-basierte Software-Obsoleszenz durch Adobe zu handeln und die früheren Käufer sollen hier endgültig enteignet werden, um sie in eine jährliche Subscription-Lizenz zu drängen…

Meine Frage an die Leserschaft: Ist jemand von diesem Zertifikatsablauf betroffen? Und falls ja, ist das bekannt gewesen? Hat jemand eine Lösung gefunden, um das CA-Zertifikat auch bei unbefristeten Lizenzen zu erneuern?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software, Störung abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Achtung: Zentrales Adobe CA-Zertifikat läuft am 7. Januar 2023 ab – kein Neuzertifikat für Perpetual Licensing Kunden!

  1. Anonymous sagt:

    Das ist aber nicht nur die Creative Suite 2, welche trotz gültiger Lizenz nicht mehr installiert werden kann. Zumindest auch die Creative Suite 4 ging auch irgendwann nicht mehr zu installieren. Und mir ist auch bis heute kein Trick bekannt, die Software trotz Lizenz noch immer legal zu installieren. Und bei Adobe Audition war es damals ebenfalls so.

    Als Adobe dann von Einzel-Lizenzen komplett auf Abo-Modelle umgestellt hatte, hatte ich auch irgendwie im Endeffekt nur das Gefühl, dass die Abo-Zeiträume von ein paar Jahren auf ein paar Wochen reduziert wurden :-)

    • OwenBurnett sagt:

      Der Trick ist es einfach irgend einen Funktionierenden Hack aus dem Internet zu bemühen, so einfach kann es sein.

    • Jens sagt:

      Gleiches Problem hier. Tipp: Nur die Service Operation "Apply Usage Rights" greift auf das Zertifikat zu. Durchsuche alle deine Prozesse danach und entferne die Operation. Stattdessen musst Du vor dem 7.1.2023 die nötigen Rechte bei allen PDF-Vorlagen setzen. So lange Du in deinen Prozessen keine zu wilden Manipulationen an den PDF-Vorlagen vornimmst und z.B. nur Textfelder ausfüllst, geht das auch so. Das ist zwar keine Dauerlösung, da sich die Vorlagen auch mal ändern, aber man erkauft sich zumindest etwas Zeit dadurch.

    • McAlex777 sagt:

      >> Das ist aber nicht nur die Creative Suite 2, welche trotz gültiger Lizenz nicht mehr installiert werden kann.

      Adobe hatte vor einigen Jahren für einige Monate eine CS2 Version Online-Gestellt die sich Offline installieren lässt, die geht auch noch aktuell (Stand Sommer 2022). Unter Windows10x64 scheinen aber diverse CS2 Funktionalitätern nicht mehr ihren Dienst zu tun, so das man besser das ganze in WinXP/Win7 virtualisiert.

      Wer den Download von Adobe damals nicht getätigt hat darf nach deutschem Recht zeitlich unbegrenzt gekaufte Software auch "Cracken".

      Die aktuelle Situation auch mit Microsoft-Office und Exchange-Online zeigt wiesehr IT-Dienstleister ihre Kunden immer mehr Knebeln und in die Abhängigkeit drängen. Schon in wenigen Jahren werden die Preise Munter erhöht: Auspressen, bis an die Schmerzgrenze.

      Etwas Themen-Abseits:
      Wer .NET4.5 oder höher installieren will, muss ebenfalls Certifikate manuell erneuern. Das passiert derzeit unter Windows7 noch via Windows Update automatisch. Wenn in einigen Jahren die Update-Server down sind, die .NET Updates nicht mehr bei Microsoft zu finden sind – wird man dieses Zertifikat vermutlich auch nicht mehr bezogen bekommen.

  2. Kofax sagt:

    Adobe Produkten haben wir vor zwei Jahren komplett aus dem Unternehmen eliminiert – wegen konsequent kundenunfreundlichem Verhalten. Und siehe da – alle sind mit den Alternativen Programmen sehr zufrieden.

    • Stephan sagt:

      Das mit dem kundenunfreundlichen Verhalten können ich bestätigen. Ich/Wir sind auch komplett umgestiegen.
      Alles bestens. Adobe ist „Gott sei Dank"
      bei uns mit allen Produkten die wir breit genutzt haben, völlig raus.

  3. Rolf sagt:

    Gibt es wirklich noch Leute mit so alten Versionen? Was machen die damit? Produktives Arbeiten ist damit unmöglich!

    • R.S. sagt:

      Wieso sollte produktives Arbeiten mit alten Versionen unmöglich sein?
      Dann müsste es nämlich auch schon unmöglich gewesen sein, damit zu arbeiten, als die Versionen noch aktuell waren.

      Nicht jeder braucht aktuelle Versionen, da sich an der Grundfunktionalität ja i.d.R. nichts ändert, sondern nur neue Gimmiks (Features) hinzukommen.
      Und die brauchen viele Leute schlicht nicht.
      80% der Anwender einer Software nutzen nur 20% der Funktionen.

      • OwenBurnett sagt:

        Im Prinzip gebe ich Ihnen hier vollkommen recht, jedoch gibt es einen Aspekt welcher im speziellem doch den Gebrauch immer der neuesten Version erzwingen kann.

        Und das ist der Daten Austausch mit anderen. Ich kenne das von Solid Works einem 3D CAD Programm, hier kann man mit neueren Versionen erstellte Dateien nicht mit älteren Versionen öffnen. Auch wen die neueren Dateien keine der neue Funktionen nutzen, es wird einfach den Kunden aus Prinzip verunmöglicht ältere Versionen bequem zu nutzen.
        Man kann natürlich Umwege über interoperable Formate (wie z.b. *.step) nehmen aber hier gehen meist viele Features oder gar die Bearbeitbarkeit der Teile flöten.

        Ich kann mir daher durchaus vorstellen das für Menschen die im Bereich von Bildbearbeitung/Medien arbeiten eine auch nur um 1 Version ältere Version quasi unbenutzbar ist, den damit können sie nichts aufmachen was ihnen ihre Kunden oder auch Subunternähmer schicken.

        Da müsste die ganze Branche eines Landes geschlossen alle neueren Versionen ab Version x Boykottieren damit man da druck aufbauen kann.

        Desclamer: ich habekeine ahnung ob das bei adobe dateien auch so ist, ich wolte nur mal den fall beleuchen den ich von solidworks kenne und adobe den säcken durchaus zutrauen würde es auch so zu machen.

        • Anonymous sagt:

          Ich selber habe da auch keine persönlichen Erfahrungen, aber unser freier Designer hat schon häufiger in der Kantine das Thema angeschnitten, dass er das Creative Cloud Abo nur habe, da er ohne die jeweils aktuelle Version von Adobe InDesign quasi nichts aus den Agenturen öffnen könnte und sofort arbeitslos wäre. Ob sich das Dateiformat dort nun jährlich oder monatlich ändert, könnte ich jetzt aber auch nicht sagen. Aber auf alle Fälle klingt er nicht sehr glücklich über diese von außen kommende Herstellerabhängigkeit.

    • Anonymous sagt:

      Das Abschalten der Lizenz-Server ist ja auch schon mehr als nur ein paar Tage her. Aber in unserer Kirchengemeinde kommt tatsächlich noch immer ein Photoshop aus einer Creative Suite 4 in der Jugendarbeit zum Einsatz. Zusammen mit einer etwas betagten, aber dennoch wunderbaren Canon EOS 5D Mark II und einer schönen Sammlung von noch betagteren aber dennoch großartigen Objektiven. Gutes Glas wird zu Glück nicht alt.

    • Dolly sagt:

      Produktives Arbeiten ist mit jeder auch noch so alten Version möglich.

      Ausser eine solche Version ist auf eine nicht mehr existierende Cloud oder einen inzwischen abgeschalteten Lizenzserver angewiesen. Dann nicht. Ausser man patcht das raus. Was auch eine produktive Arbeit ist, nur etwas anders.

  4. McAlex777 sagt:

    Frage:
    Ist es nicht kriminell zeitlich unbegrenzte Software zu verkaufen, die durch zertifikate zeitlich limitiert ist, bei denen sich der Hersteller Weigert sie nach Ablauf zu erneuern?

  5. ich bin´s sagt:

    Viele meiner Kollegen arbeiten noch mit den uralten Acrobat-Versionen 5-7 und sind völlig zufrieden damit. Natürlich nicht für das öffnen von PDFs aus dem Internet. Da kommen aktuelle Reader zum Einsatz. Aber um mal selbst ein PDF zu erstellen oder mal eben ein Formularfeld zu änder ist das ausreichend. Und das Einzige, was von Adobe noch im Einsatz ist.

  6. Anonymous sagt:

    Da fällt mir etwas ein… Konnte man beim Acrobat Professional nicht auch Reader Extensions im PDF aktivieren? Du kannst ja nächste Woche mal Deine Kollegen fragen, ob das dann noch immer geht. Ich befürchte mal, dass das Zertifikat dort dann auch kommemde Woche ausläufen wird. Ich habe hier leider kein altes Acrobat Professional rumliegen, um das zu testen…

    • Anonymous sagt:

      Zitat Adobe Homepage:
      "Das Adobe Acrobat-Update (Continuous Track und Classic Track) vom November 2022 erstellt Reader Extended PDFs mit einem neuen Zertifikat, das von „Adobe Root CA 2" ausgestellt wurde. Adobe empfiehlt Benutzer*innen, auf die neueste Version von Acrobat (Update vom November 2022 oder höher) zu aktualisieren, um diese Funktion nach dem 7. Januar 2023 weiterhin nutzen zu können."

      https://helpx.adobe.com/de/acrobat/kb/reader-extended-pdfs-and-adobe-root-ca-expiry.html

    • Anonymous sagt:

      Der englische Forumsbeitrag von AnandSri (Adobe-Mitarbeiter) vom 17. Nov. 2022 klingt in seiner Überschrift auch nicht mehr ganz gelassen:
      "Attention!! Adobe Root CA certificate on Reader Extended PDFs expiring soon!!"

      Und weiter geht es im Englischen so:
      "Adobe Root CA is the root certificate for some certificates used by Adobe Acrobat and Acrobat Reader. Acrobat Reader uses Adobe-issued certificates to enable extended use rights in specific workflows. With the November 2022 release of Adobe Acrobat and Acrobat Reader, Adobe has updated the applications to use the new 'Adobe Root CA 2' root certificate."
      […]
      "Adobe Acrobat uses a certificate issued by 'Adobe Root CA' to sign Reader Extended PDFs. This certificate can no longer be used to create new Reader Extended PDFs post its expiry on January 7, 2023. The November 2022 update of Adobe Acrobat (Continuous and Classic track) creates Reader Extended PDFs using a new certificate issued by 'Adobe Root CA 2'. Adobe recommends users update to the latest version of Acrobat (November 2022 update or later) to continue using this functionality post-January 7, 2023."

      Quelle: https://community.adobe.com/t5/acrobat-discussions/attention-adobe-root-ca-certificate-on-reader-extended-pdfs-expiring-soon/td-p/13352248?profile.language=en

  7. Michael K. sagt:

    Die Creative Suites von Adobe sind nicht unbedingt endlos abwärtskompatibel. Wer alte Illustrator- oder InDesign-Archivdateien anfassen muss, tut dies besser mit einer Version aus der entsprechenden Epoche.

    Manche Filter gibt es in den neuen CS-Versionen nicht (mehr), z. B. für FreeHand-Bilder, auch werden nicht alle Skriptbefehle alter Aktionslisten unterstützt, teilweise sind wichtige Befehle entfallen. Plug-ins funktionieren auch nicht uneingeschränkt auf neuen Versionen. Bei alten Framemaker-Dateien sieht es ganz bös aus.

    Es gibt so einige Gründe, ältere Adobe-Produkte zu benutzen.

  8. Alex sagt:

    Falls eure Kunden euch nach dem Update des Zertifikats anrufen, da deren Adobe Reader die folgende Meldung liefert:

    "Durch dieses Dokument wurden erweiterte Funktionen im Reader aktiviert. Da das Dokument seit seiner Erstellung geändert wurde, sind die erweiterten Funktionen nicht mehr verfügbar. Wenden Sie sich an den Autor, um die Originalversion dieses Dokumentes zu erhalten."

    …dann müssen die ihren Adobe Reader auf die aktuelle Version bringen!

    • Alex sagt:

      Und wenn die Adobe Reader Version bereits aktuell ist, dann ist der Zertifikatsstore des Benutzers für die vertraunswürdigen Zertifikate vermutlich korrupt und kann nicht aktualisiert werden. Um diesen Store zurückzusetzen, muss man den Adobe Reader schließen und die folgende Datei löschen oder zumindest umbenennen:

      C:\Benutzer\\AppData\Roaming\Adobe\Acrobat\DC\Security\addressbook.acrodata

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.