[English]Ich hole nochmals ein abgehangenes Thema 'ablaufende Zertifikate' hoch. Zum Jahresende laufen teilweise Root-Zertifikate ab. Diese dürfen unter Windows aber keinesfalls gelöscht werden, da es andernfalls zu Problemen kommt.
Anzeige
Kurzer Rückblick zum Thema
Besitzer von Geräten, die keine Updates mehr bekommen, stehen vor dem Problem, dass dort u.U. digitale Zertifikate ablaufen. Ich hatte im Blog-Beitrag Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits bereits im Sommer 2020 darauf hingewiesen, dass für Smartgeräte wie Smart TVs, Kühlschränke oder andere IoT-Devices (Smart Speaker, Thermostate etc.) ein bitteres Ende drohen könnte. Als im Mai 2020 das AddTrust External CA [Certificate Authority] Root ablief, funktionierten plötzlich verschiedene Geräte nicht mehr. Auch Besitzer älterer Smartphones und Tablet PCs erhalten keine Updates und damit auch keine aktualisierten Zertifikate mehr.
(Zum Vergrößern zwei Mal anklicken)
Ich hatte im Blog-Beitrag Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020 darauf hingewiesen, dass unter Windows zum Jahreswechsel einige Zertikate ablaufen. Blog-Leser Karl hatte auf Twitter diese Frage aufgeworfen.
Microsoft: Abgelaufene Zertifikate nicht löschen
Blog-Leser Alexander Meckelein hat in diesem Kommentar auf eine Information aus dem Microsoft-Universum hingewiesen, die die Kollegen von Bleeping Computer in diesem Artikel thematisiert haben. Bereits im September 2020 hat Microsoft das Dokument Required trusted root certificates veröffentlicht hat. Dieser Artikel listet die vertrauenswürdigen Stammzertifikate auf, die von Windows-Betriebssystemen für die korrekte Ausführung benötigt werden.
Anzeige
Der Beitrag selbst ist schon extrem merkwürdig, galt er sich doch ursprünglich für Windows 7 Service Pack 1 und Windows Server 2012 R2, weist aber das Revisionsdatum 8. September 2020 auf. Die Tabellen mit den von den Betriebssystemen benötigten Root-Zertifikaten beziehen sich aber auf Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2.
Alle diese Betriebssystemversionen sind aus dem Support gefallen, wenn Microsoft auch für Windows 7 SP1 / Windows Server 2008 R2 noch das Extended Support Update-Programm anbietet. Und einige im Dokument erwähnte Zertifikate sind längst abgelaufen. Administratoren könnten auf die Idee kommen, diese abgelaufenen Root-Zertifikate aus dem System zu entfernen, um quasi Hausputz zu halten.
Der springende Punkt, der in diesem Artikel aber ans Tageslicht kommt, ist die Aussage: Die Stammzertifikate, die im Dokument als notwendig und vertrauenswürdig aufgeführt werden, sind für den korrekten Betrieb des Betriebssystems erforderlich. Das Entfernen dieser Zertifikate könnte die Funktionalität des Betriebssystems einschränken oder zum Ausfall des Computers führen. Daher dürfen auch abgelaufene Zertifikate nicht aus dem Windows-Zertifikatsspeicher entfernt werden. Denn diese Zertifikate sind für die Abwärtskompatibilität erforderlich. Solange abgelaufene Zertifikate nicht widerrufen werden, können sie verwendet werden, um alles zu validieren, das vor ihrem Ablaufdatum signiert wurde Sollte man bezüglich dieses Themas im Hinterkopf behalten.
Ähnliche Artikel:
Abgelaufene Zertifikate kicken IoT-Geräte ins Abseits
Windows 10 vergisst Zertifikate beim Upgrade
Autsch: Let's encrypt zieht 3 Millionen Zertifikate zurück
Surface RT/Surface 2: Update KB4516067 legt Zertifikate lahm
TLS-Zertifikate nach Shutdown der US-Regierung ausgelaufen
Ungepatchte Altgeräte: Zertifikate-Ablauf Ende 2020
Anzeige
Danke für den Tipp!
Man sollte die sowieso nicht löschen, wenn man zum Beispiel Mailsignaturen aus der Vergangenheit noch prüfen will.
Ich denke dass 'normale' Benutzer mit dem Thema Zertifikate ohnehin teilweise überfordert sind. Mir fällt da im Bekanntenkreis jetzt spontan niemand ein, der auf die Idee kommen könnte mal schnell Root-Zertifikate aus dem Speicher zu löschen. Geschweige denn das überhaupt zu finde . Die Gefahr ist eher theoretisch. 😂
Die Leute von Bleeping Computer hatten (weil jemand von denen bei mir auf den initialen Artikel zum Zertifikateablauf gestoßen war) bei Microsoft nachgefragt. Als Antwort kam der Verweis auf das oben erwähnte Dokument, keine Zertifikate zu löschen.
Und nein, ich hatte nicht den Anwender, der nicht mal weiß, welches Windows er hat, im Hinterkopf. Der Artikel hatte Power User und Admins auf dem Radar, die vielleicht aus Langeweile am 1. Januar 2021 auf die Idee kommen könnten 'Hausputz bei ihren Stammzertifikaten' auszuführen ;-).