Alle Root Zertifikate werden als nicht vertrauensvoll eingestuft
Hallo zusammen!
Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten
und zwar geht es um folgendes:
Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.
Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten
Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden
Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?
Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.
Ich freue ich auf eure Unterstützung!
Ich habe eine kurze Frage und hoffe Ihr könnt mir mit eurem Fachwissen helfen mir diese zumindest ansatzweise zu beantworten
und zwar geht es um folgendes:
Gestern Abend bekam ich auf einmal in meinem Browser die Meldung auf allen SSL/https Seiten das die Seite als nicht vertrauensvoll eingestuft wird. Daher denke ich mal das es sich um ein Problem mit den Root-CAs gehandelt hat. Der Fehler trat in beiden Browsern (Firefox, IE9) auf. Ich habe es danach mit einem Laptop (Mac OS; Safari, Firefox) probiert, das selbe Problem. Daher habe ich ein Problem mit einem Computer selbst ausgeschlossen da es an 2 unabhängigen Rechnern auftrat. Nachdem ich die Seiten manuell als vertrauensvoll eingestuft habe, war der Zugang zu den https Seiten möglich. Nur kurz um das vorweg zu nehmen, heute morgen funktionierte alles wieder normal, es geht hier für mich darum das ich verstehe was passiert ist.
Zu meiner Internetverbindung:
- Ich surfe über die Verbindung von meiner Universität, diese Verwendet einen Proxy. Wenn ich über diese Verbindung die https Seiten aufgerufen habe trat der oben beschriebene Fehler auf
- Ich habe auch einen openVPN Account zu einem externen Provider, wenn ich über diese Verbindung verbunden war (über das Universitätsnetz) hatte ich kein Problem mit den Zertifikaten (auf beiden Computern getestet)
- Testweise habe ich auch die Verbindung mit einem Surfstick probiert, auch hier hatte ich keine Probleme mit den Zertifikaten
Ich tendiere dazu zu vermuten das es etwas mit dem Proxy der Universität zu tun hatte das die Root-CAs nicht mehr anerkannt wurden
Jetzt zu meiner eigentlichen Frage:
Wie kann das sein das über diesen Proxy (oder auch andere Software) die Root-CAs ihre Gültigkeit auf den Clients verlieren?
Mir ist keine Möglichkeit bekannt wie sowas möglich ist daher würde ich mich freuen, wenn Ihr mich aufklären könntet oder zumindest eure Gedanken dazu sagen könntent.
Ich freue ich auf eure Unterstützung!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 176689
Url: https://administrator.de/forum/alle-root-zertifikate-werden-als-nicht-vertrauensvoll-eingestuft-176689.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Nennt sich "MitM". In manchen Umgebungen ist https bzw. dessen Nebenwirkungen (Tunnel, nicht per Virenscanner prüfbar) "unerwünscht". Deshalb gibt es Proxy Server die auch https "unterbrechen" um den Inhalt prüfen zu können. Da der Proxy i.d.R. keine gültigen SSL Zertifikate für die angesteuerten Webseiten hat weißt dich dein Browser mit recht auf die Sicherheitslücke hin. Die Seiten als "vertrauenswürdig" einzustufen ist verkehrt, da du damit dem Proxy vertraust und nicht der Seite. Wenn es nun wieder funktioniert kann es drei Gründe haben:
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt
Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
- Der Verwalter des proxy hat diesen Kram wieder deaktiviert
- Es wurde Netzwerkweit ein "passendes" root-Zertifikat untergeschoben und der Proxy generiert nun "vertrauenswürdige" Zertifikate
- Es war gar nicht der Proxy sondern es hat jemand im internen Netz mit Hacker-Tools rumgespielt
Auf jeden Fall auch Datenschutzrechtlich sehr bedenklich.
Die Möglichkeit Root Zertifikate unbemerkt unterzuschieben gibt es nur in "Managed" Umgebungen also z.B. für Mitglieder einer Windows Domain. Prüfen lässt sich das indem man den Windows Zertifikatsstore vergleicht, oder im Falle des Proxy das Zertifikat der Webseite prüft bzw. den Austeller des Zertifikates. Falls du es mit der Sicherheit wirklich ernst meinst solltest du sowieso den Zertifikate Store deines Browsers/Betriebssystems durchgehen und abgleichen ob der Hersteller und du gleicher Meinung sind über "vertrauenswürdig". Ob man z.B. Root CAs aus mehr oder minder totalitären Staaten vertrauen sollte ist Geschmackssache.
Im Firmenumfeld wäre es u.U. möglich wenn die Privatnutzung per Arbeitsvertrag ausgeschlossen ist und wenn diese Massnahme den Mitarbeitern klargemacht wird (von den Mitarbeitern unterschriebene Richtlinie). Ob der Betriebsrat zustimmen muß oder nicht kann ich jetzt nicht sicher sagen, wie das an einer Uni zu bewerten ist auch nicht. Da allerdings auch viele Leute von "unterwegs" mal eben das Bankkonto checken und ähnliche Dinge tun würde ich mal mit dem Datenschutzbeauftragten eurer Uni/Hochschule sprechen.
Gruß
Andreas
Gruß
Andreas