Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020

[English]Spannende Geschichte, die mir gerade unter die Augen gekommen ist. Besitzer von älteren Geräten, die keine Updates mehr bekommen, müssen sich vermutlich darauf einstellen, dass diese zum Jahreswechsel 2020/2021 funktionslos werden – zumindest, was den Zugriff auf gesicherte Internetverbindungen betrifft. Ursache sind  ablaufende Root-Zertifikate.


Anzeige

Einige Hintergrundinformationen

In der Kryptografie und auf dem Gebiet der Computersicherheit werden Stammzertifikate eingesetzt. Diese Stammzertifikat besitzen einen öffentlichen Schlüssel, das eine Stammzertifizierungsstelle identifiziert. Stammzertifikate sind selbstsigniert und bilden die Grundlage einer X.509-basierten Public-Key-Infrastruktur.Alle weiteren Zertifikate werden dann aus diesen Stammzertifikaten abgeleitet.

Auch Stammzertifikate besitzen einen Gültigkeitszeitraum und ein Ablaufdatum. Nach diesem Ablaufdatum werden die Stammzertifikate und alle davon abgeleiteten Zertifikate ungültig. Das ist aber normalerweise kein Problem: Die Hersteller von Geräten rollen ein Update aus, welches das ausgelaufene Stammzertifikat ersetzt. Wird das vergessen oder ist dies nicht möglich, können die Geräte keine gesicherten Internetverbindungen mehr aufbauen, keine Software mehr installieren etc., da die Absicherung durch das Root-Zertifikat gebrochen ist.

Ich hatte im Blog-Beitrag Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits bereits im Sommer 2020 darauf hingewiesen, dass für Smartgeräte wie Smart TVs, Kühlschränke oder andere IoT-Devices (Smart Speaker, Thermostate etc.) ein bitteres Ende drohen könnte. Als im Mai 2020 das AddTrust External CA [Certificate Authority] Root ablief, funktionierten plötzlich verschiedene Geräte nicht mehr. Auch Besitzer älterer Smartphones und Tablet PCs erhalten keine Updates und damit auch keine aktualisierten Zertifikate mehr.

Zum Jahreswechsel 2020/2021 laufen Root-Zertifikate aus

Blog-Leser Karl stellte gerade auf Twitter die Frage, was bei ungepatchten oder nicht ans Internet angeschlossenen Geräten passiert, wenn deren Root-Zertifikate auslaufen. Die Abbildung in nachfolgendem Tweet zeigt die Ablaufdaten diverser Zertifikate.


Anzeige

Zum Jahreswechsel 2020/2021 laufen Root-Zertifikate aus
(Zum Vergrößern zwei Mal anklicken)

In Windows kann jeder Nutzer leicht prüfen, welche Zertifikate installiert sind und wann diese ablaufen. Einfach in der Systemsteuerung Internetoptionen wählen und dann auf die Registerkarte Inhalte und die Schaltfläche Zertifikate klicken. Dann wird der Zertifikatsspeicher eingeblendet und man kann die Ablaufdaten prüfen. Das Microsoft Root Authority-Zertifikat läuft beispielsweise am 31.12.2020 ab und wird dann ungültig. auch verschiedene Thawte-Zertifikate werden am 1. Januar 2021 ungültig.

Ähnliche Artikel:
Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits
Windows 10 vergisst Zertifikate beim Upgrade
Autsch: Let's encrypt zieht 3 Millionen Zertifikate zurück
Surface RT/Surface 2: Update KB4516067 legt Zertifikate lahm
TLS-Zertifikate nach Shutdown der US-Regierung ausgelaufen


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020

  1. Geronimo:) sagt:

    Hallo, auf einem meiner Rechner läuft noch Windows 7 (ja ich weiß).
    Dort gibt es auch das Zertifikat "Microsoft root authority", das am 31.12.2020 abläuft.
    Was passiert mit den Windows 7 Rechnern, auf denen das Zertifikat läuft! Wahrscheinlich alle!!!
    Sind diese Rechner dann nicht mehr zu gebrauchen?
    Kommt man dann z.B. nicht mehr ins Internet???

    Hab gerade ein paar Hitzewallungen deswegen!!!

    Geronimo:)

    • der ITler sagt:

      auf Windows 8.1 oder Windows 10 Updaten und gut ist.

      Mit einem ungepatchten Windows 7 PC im Internet zu surfen, ist absolut UNSICHER!!

      Gruß vom IT'ler

      • Günter Born sagt:

        Stopp – diese unreflektierte Aussage (die zwar in vielen Fällen korrekt ist) sollte man differenzieren.

        1. Es gibt die Möglichkeit, das System mit 0patch abzusichern. Die nutzen Micropatches, um gezielt Schwachstellen zu schließen.
        2. Es gäbe die Möglichkeit, ein minimales Windows 7 SP1 mit Safer so zuzunageln, dass keine Programminstallationen mehr ausgeführt werden können.

        Wer sich etwas auskennt, könnte mit 1+2 durchaus noch leben – oder er setzt gleich auf ein Linux.

    • Günter Born sagt:

      Ich muss mir das Ganze zum Jahreswechsel anschauen. Möglicherweise kann man ein erneuertes Zertifikat importieren.

      • Geronimo:) sagt:

        Diese Überlegung hatte ich auch schon, ein neues Zertifikat einzuspielen.

        Ich möchte aber nochmal auf meine Frage zurück kommen.
        Wenn das Zertifikat abgelaufen ist, kann man dann noch ins Internet oder Intranet???

        Wäre ja mal für alle Interessant, die noch Windows 7 Rechner nutzen!

        Oder mal anders gefragt. Welche Auswirkungen hat es allgemein, wenn das Zertifikat abgelaufen ist?

        Geronimo:)

        • gpburth sagt:

          Meine Vermutung: keine Probleme "im Internet" (außer evtl. bei Microsoft-Webseiten).
          Interessant wird es eher bei Programmen/Updates, deren Signatur damit erfolgte. Theoretisch sollte ja dann der Zeitstempel eine Rolle spielen, aber wenn das entsprechende Zertifikat ebenfalls ausläuft…

          Neuere Stammzertifizierungsstellen-Zertifikate sind auf jeden Fall importierbar. WSUS offline hat gleich etliche heruntergeladen, man kommt also ran. Zudem ist das Uralt-CA-Zertifikat von Microsoft auch noch in Win10 enthalten. Neben mehreren neueren.

        • Martin Feuerstein sagt:

          Dann hagelts Warnmeldungen beim Zugriff auf Webseiten oder bei Internetzugriffen z. B. bei Windows-Updates oder anderen Programmen, die die Windows-API für den Internetzugriff anzapfen. Wenn man sich die passenden Root-Zertifikate runterlädt und installiert gehts wieder (woher nehmen und nicht stehlen? Z. B. aus einem aktuellen Win10 exportieren und in Win7 importieren. ggf. Updates für SHA256 installieren).
          Chrome greift dabei wie IE/Edge auf den Zertifikatsspeicher von MS zurück, Firefox bringt derzeit noch einen eigenen Zertifikatsspeicher mit (kann aber zusätzlich den Windows-Zertifikatsspeicher nutzen, wenn man das aktiviert).

        • Dat Bundesferkel sagt:

          Probiere es selber aus: Stelle Deine Systemuhr einfach ein Jahr voraus.

          • gpburth sagt:

            das gibt dann wenigstens sicher Probleme bei der Verbindungsaushandlung: der Server teilt dem Client nämlich seine Uhrzeit mit, damit abgefangene Pakete nicht erneut verwendet werden können. Und wenn dann der Server eine ein Jahr "alte" Uhrzeit meldet…

    • Steter Tropfen sagt:

      Uuups – bei mir ist eben jenes Zertifikat schon am 31.12.02 abgelaufen (wo kommt das her? damals gab es weder Windows 7 noch meinen Rechner). Scheint nochmal gut gegangen zu sein – wie man sieht, bin ich trotzdem im Internet.
      In der Liste sind noch ein paar andere Zertifikate, die vor Jahren oder Monaten abgelaufen sind. Oder meint die (zweistellig angegebene) Jahreszahl gar nicht 2002, sondern 3002?

      • gpburth sagt:

        bei meinem Win10 auch: jede Menge bereits abgelaufene Root-CA-Zertifikate: "Microsoft Authenticode" am 1.1.2000, "Deutsche Telekom Root CA 2" am 10.7.2019 und etliche andere. Nie was passiert. Warum auch? Das Stammzertifizierungsstellen-Zertifikat muss ja nur zum Zeitpunkt der Signatur gültig gewesen sein (und im Idealfall sollten auch heute noch die entsprechenden Sperrlisten verfügbar/erreichbar sein).
        Das Problem mit LetsEncrypt lag ja nicht daran, dass das Zertifikat ablief, sondern daran, dass die neue CA bei etlichen Altgeräten nicht eingespielt war und neue Zertifikate mit dem Altzertifikat nicht ausgestellt werden konnten (und LE laufend neue Zertifikate erstellt).

  2. J.G. sagt:

    "Das Microsoft Root Authority-Zertifikat läuft beispielsweise am 31.12.2020 ab und wird dann ungültig. auch verschiedene Thawte-Zertifikate werden am 1. Januar 2021 ungültig."

    Bei mir ist das "Microsoft Root Authority-Zertifikat" schon 2002 abgelaufen. Ein anderes habe ich nicht. Ich nutze Windows 7 Professional. Ansonsten habe ich von Thawte nur ein Zertifikat und das läuft erst 2027 ab. Ins Internet gehe ich über den Opera-Browser.

    Microsoft Root Authority-Zertifikat

    Thawte RSA CA 2018

  3. chw9999 sagt:

    Da man ja Sicherheitspatches bis ins nächste Jahr "kaufen" kann (oder eben ByPassESU nimmt), wird MS sicherlich eine Lösung wissen und installieren, sofern notwendig.
    Ich bin da ganz entspannt.

  4. Oliver sagt:

    Ich bin da weniger entspannt. Selbst wenn es ein neues Zertifikat von Microsoft geben wird (was es wohl wird) so werden das die normalen Nutzer von Win7 wohl nicht mehr erhalten (davon gehe ich mal aus) – zumindest nicht über die normal Update-Funktion. Auch WSUS Offline, WinFuture UpdatePack etc. werden das wohl kaum mit an Board haben.

    Weiß von euch denn einer konkret wie man neue Zertifikate importieren kann bzw. wie man so ein neues Zertifikat bekommt? Ich möchte mein "teuer gekauftes" Win7 gerne weiterhin nutzen und so ein Zertifikat ist leider ja nicht nur für Online-Dinge da sondern auch um einige Programme offline zu installieren/starten (die das prüfen – so z.B. Microsoft-Installer).

    Hat da einer eine Idee?

  5. Micha sagt:

    "Microsoft Root Authority" Zertifikat läuft auf meiner Windows 8.1 Pro x64 auch am 31.12.2020 ab. Ich habe aber in der Liste noch 4 weitere "Microsoft Root Certificate Authority" Zertifikate.

    Bei dreien meldet das System: "Dieses Zertifikat ist für den ausgewählten Zweck nicht gültig." Die heißen:
    "Microsoft Root Authority" Ablaufdatum 31.12.2020
    "Microsoft Root Certificate Authority" Ablaufdatum 10.05.2021
    "Microsoft Root Certificate Authority 2010" Ablaufdatum 23.06.2035

    Das einzig Gültige heißt:
    "Microsoft Root Certificate Authority 2011" Ablaufdatum 22.03.2036

  6. Daniel sagt:

    Ich habe einen PC mit Windows 10 2004 (aktuelle Build) Da läuft das Zertifikat auch am 21.12.2020 ab. Kann mir jemand sagen, was dann passiert? Wird das Zertifikat dann automatisch erneuert?

  7. Alexander Meckelein sagt:

    Hallo,

    ich bin über den Artikel https://www.bleepingcomputer.com/news/microsoft/microsoft-dont-delete-windows-10-root-certificate-expiring-this-month/ bei bleepingcomputer.com auf den Artikel bei borncity.de gestossen worden, interessant, meist isses der umgekehrte Weg. Dort wird auf den Microsoft Support Artikel https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/trusted-root-certificates-are-required verwiesen, in welchem die "necessary" Root Zertifikate gelistet sind, mit Ablaufdatum. Teilweise sind diese bereits vor 20 Jahren ungültig geworden.

    Microsoft weißt auf der Support Seite ganz klar darauf hin, dass auch die ungültigen Zertifikate auf keinen Fall gelöscht werden dürfen, da sonst das OS nicht mehr ordentlich läuft. Die Zertifikate sind für Abwärtskompatibilität notwendig, da alles was mit dem Zertifikat signiert wurde, auch dieses benötigt um weiter zu funktionieren, selbst wenn das Zertifikat bereits abgelaufen ist.

    Hierdurch ist auch bereits erklärt, was passiert wenn die Root Zertifikate ablaufen, nämlich überhaupt nichts. Es kommt erst dann zu Problemen, wenn man abgelaufene Root Zertifikate aus dem System entfernt. Was Microsoft auch ganz klar sagt "… you should not remove them.".

    In meinen Augen zeigt dies eindeutig wie kaputt das internationale Zertifikatssystem wirklich ist. Nicht mehr ich bin der Herr darüber welchen Root Zertifikaten ich vertraue, sondern ich muss die nehmen die mir untergeschoben werden, egal ob diese abgelaufen sind oder nicht. Und was nützt mir die ganze Zertifikatsprüfung, wenn schon das Root Zertifikat abgelaufen ist, aber die Validierung nicht mit einem Fehler beendet wird. Dann kann ich mir die Prüfung auch gleich schenken.

    Dies ist nur meine persönliche Meinung hierzu.

  8. Heribert sagt:

    Win 8 bei mir;

    Einige Seiten im Browser funktionieren nach wie vor;
    andere zb Google werden nicht angezeigt – Google Suche somit nicht möglich.
    Das importieren im Geräte managers von anderen Zertizierungsdiensten schlägt fehl.
    Das aktualisieren auf Win 10 brachte mir vor Jahren schon ein "einschicken zum Support" weil nichts s mehr ging (=kein alter Laptop; Acer mit I7 Prozessor und eigener Grafikkarte – also jetzt ist er knapp 10 Jahre alt, gekauft ca 1 jahr vor Win10), die haben irgendwas umgelötet (sollte jetzt win10 vertragen) und wieder win 8 aufgesetzt.
    War bisher auch OK; da darauf noch alte Spiele laufen oder auch alte Microsoft Programme – aber jetzt spinnt er halt.

  9. Joss B. sagt:

    Hallo,
    habe das Problem gehabt, dass auf meiner Win7 Maschin sich das .net 4.6 nicht installieren ließ – mit hinweisen auf Problem mit den Zertifikaten … Problem gelöst !!!

    :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :)

    Es liegt an den Zertifikaten!

    Habe von meinem Win10 Rechner die Zertifikate (Vertrauenswürdige Stammzertifizierungsstellen) exportiert – alles die mit Microsoft etwas zu tun hatten, da ich leider nicht wußte welches/welche nun für die Installation gebraucht wurden.

    Danach auf dem Win7 Rechner – welcher Offline, also nicht im Internet ist, die Zertifikate über die Internetoptionen / Inhalte / Zertifikate / Vertrauenswürdige Stammzertifizierungsstellen / Importieren importiert.

    Und die Installation von .net 4.6 war erfolgreich … und auch von .NET Framework 4.8 Developer ! :)

    :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :) :)

    siehe für nähere Details: https://answers.microsoft.com/de-de/windows/forum/windows_7-windows_programs/installation-von-net-462-auf-windows7-bringt/a4f548f1-af9f-4e7a-90fc-3e11f9f29123?auth=1

  10. Gerrit Buesse sagt:

    genau da haut mein Problem in eine dicke Kerbe.

    Win7 LTSC auf einem uralt-Stand, aber vom Kunden so benötigt.

    Nun habe ich eine Riesenlatte an Security Updates, und es kommt der nette Fehler 0x800b010a mit den trusted certificates.

    Ich bin am verzweifeln, schon viel ausprobiert, doch nichts zieht.

    Mal schauen, wie lange mich das wieder beschäftigen wird…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.