Wissenslücke - Abgelaufene Zertifikate löschen?

Hallo zusammen,

kein ernsthaftes Problem (hoffe ich), aber eine Sache, über die ich keine Infos finden konnte. Ich hoffe ihr könnt mir helfen, meine Wissenslücke zu füllen.

Durch Zufall bin ich über den "Zertifikat-Manager" im Firefox gestolpert. Dort habe ich geshen, dass unter dem Reiter "Server" mehrere Zertifikate stehen, die zwar eine "dauerhafte Lebenszeit" haben, aber teilw. schon abgelaufen sind (eines ist dabei, welches irgendwann 2004 abgelaufen ist :schockiert: )

Bisher dachte ich, abgelaufene Zertifikate werden automatisch gelöscht. Da dies anscheinend nicht so ist, nun meine Frage: sollte ich die abgelaufenen Zertifikate manuell löschen oder besser nicht?

Danke für Infos und/oder eure Meinungen.

Grüße

Nur um eine Meinung in den Ring zu werfen: Da die Zertifikate durch den Ablauf eh ungültig sind, kannst Du sie lassen wo sie sind. Ob Ungültigkeit durch nicht vorhanden sein oder durch ablauf festgestellt wird, ist egal. Bei der derzeitigen Variante hast Du nur keine weitere Arbeit
Aber evtl. täusch ich mich ja und jemand mit richtig Ahnung schimpft mich einen Depp...

Ich sehe keinen Sinn darin, daß abgelaufene Zertifikate bis zum Sankt Nimmerleins-Tag beim Benutzer gespeichert bleiben, aber sie stören natürlich nicht. Nach meinen Erfahrungen können sie problemlos gelöscht werden. Bei einem neu erstellten Firefox-Profil sind übrigens auch einige schon lange abgelaufene vorhanden.

Hallo Josef,

so sehe ich das auch. Da stellt sich eigentlich die Frage, warum die abgelaufenen Zertifikate nicht automatisch gelöscht werden? Und bei einem neu erstelltem Firefox-Profil abgelaufenen Zertifikate zu installieren macht ja überhaupt kein Sinn.
Der einzige Grund, der mir einfällt, um dieses Verhalten zu erklären, wäre, dass Firefox erkennt, welches Zertifikat zu welchem Lesezeichen gehört und sie so lange behält, wie das Lesezeichen existiert.
Aber das ist reine Spekulation, da ich mich damit garnicht auskenne. Sonst würde ich ja nicht fragen.

Nagut, spielen wir das mal durch. Ich lösche Zertifikate und bekomme dann mit einer Website Probleme (das Ablaufdatum hätte dann weder Sinn noch Funktion). Wo bekomme ich ein aktuelles Zertifikat her? Müsste die betreffende Seite nicht irgendwas aktuelles anbieten?
Kann man irgendwo nachsehen, bei welchem Server (z.B. DigiNotar, Entrust.net usw.) welches Zertifikat aktuell ist? Dann würde ich die Serverliste im Firefox kontrollieren und alle Zertifikate löschen, die von den Servern nicht bestätigt sind. Dann solltes doch gar keine Probleme geben...

Also das Ablaufdatum der Server ist irgendwie total hirnverbrannt.

Bei meiner Arbeitstelle stehen dort genau die selben Daten. Auch das eine Ablaufdatum von 2004. Was soll das?

Hallo BeastXXL,

die abgelaufenen Herausgeberzertifikate kannst du bedenkenlos aus dem Zertifikatsstore des Browsers löschen. Wie hier schon mehrfach geschrieben, haben sie keinerlei Funktion mehr. Andererseits schaden diese auch nicht - außer vielleicht, dass sie dir 2-3KB an Platz auf deiner Festplatte rauben. Du könntest sogar ca. 50% der vorinstallierten Herausgeberzertifikate löschen, ohne dass du das je bemerken würdest. Oder hattest du je eine Webseite, deren Zertifikat von Türktrust oder einem TC aus Griechenland o.ä. herausgegeben wurde?
Nur, welchen Sinn hat so eine langwierige Löschaktion?

Was aber die Ursache dafür ist, dass Mozilla solche alten Zertifikate immer wieder importieren lässt (damit sind die gelöschten Z. wieder im Zertifikatsstore!), so sehe ich das so:
Für beide "Mozillen", also den Fx und auch den TB pflegt Mozilla die gleiche Installationsdatei (im Repo: "ca-certifikaes-mozilla"). Ich habe durch bewusste Beobachtung festgestellt, dass als verbrannt geltende Zertifikate recht schnell rausgenommen und regelmäßig neue Zertifikate ergänzt wurden. Diese Datei wird bei den Updates mit geupdated.

Den Grund, warum auch abgelaufene Zertifikate eingepflegt werden, sehe ich in der S/MIME-Funktion des Thunderbird.
Ein fremdes Benutzerzertifikat benutzt du bei S/MIME ja für zwei Funktionen:
- zum Verschlüsseln der E-Mail an diese Adresse, und
- zum Prüfen der Signatur einer erhaltenen E-Mail von dieser Adresse.

Verschlüsseln kannst du mit einem fremden Benutzerzertifikat nicht mehr, wenn dieses abgelaufen ist (oder in einer Sperrliste eingetragen ist). Aber du kannst weiterhin die Signatur einer innerhalb der Gültigkeit damit signierten Mail prüfen. Also wenn es sein muss, auch von einer Mail, die du vor 10 Jahren bekommen hast. Es wird zwar angezeigt, dass das Zertifikat abgelaufen ist - aber auch, dass die Signatur zum Zeitpunkt der Erzeugung gültig war. Also, dass diese Mail auch in den 10 Jahren ihrer "Lagerung" sich nicht verändert hat. Und genau darauf kommt es eben immer wieder (mal) an.
(Ähnlich ist es auch mit den privaten Schlüsseln: du kannst mit einem uralten abgelaufenen eigenen Schlüssel jederzeit deine alten Mails entschlüsseln, aber damit nicht mehr signieren.)
Ja, und für die Signaturprüfung sind die uralten und längst abgelaufenen Zertifikate gut und nützlich.

OK?

MfG Peter

Hallo Peter,

danke für die Erklärung. Sie ist die bisher beste Erklärung, die ich dazu gelesen habe und würde auch so manche Frage beantworten. Allerdings möchte ich noch einmal darauf hinweisen, dass ich von den Zertifikaten unter dem Reiter "Server" und nicht unter dem Reiter "Zertifizierungsstellen" spreche.

Ich kann die Liste leider nicht reinkopieren und obwohl sie recht kurz ist, ist es mir zuviel Arbeit sie abzuschreiben.
Als Erklärung zu diesem Reiter steht dort:"Sie haben Zertifikate gespeichert, die dieser Server identifizieren". In dieser Liste stehen Server wie "DigiNotar" und "The USERTRUST Network". Und was bei Wikipedia zu DigiNotar steht, ist nicht gerade Vertrauenserweckend:http://de.wikipedia.org/wiki/DigiNotar
Ich habe mir dann mal einige der abgelaufenen und der angeblich aktuellen Zertifikate angesehen. Folgende Sätze werden über den Infos eigeblendet und lassen mich ernsthaft Zweifeln, welchen Sinn diese Zertifikate haben:
"Dieses Zertifikat konnte nicht verifiziert werden, da ihm nicht vertraut wird" (wird häufig angezeigt)
oder
"Diese Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden"
oder sowas in der Art, dass es nicht verifiziert werden konnte, weil es mit einem Algorithmus signiert wurde, der deaktiviert wurde, weil er nicht sicher ist.

Es scheint fast so, als wäre das so eine Art Müllhalde. Jeder, der einen Firefox installiert hat, kann sich selbst davon überzeugen.

Aber wenn die Zertifikate alle ausgesondert wurden, warum sind sie noch da bzw. werden sogar noch bei jeder Installation/Update eingepflegt? Und ja, bei TB stehen die selben Server in der Liste wie bei Fx.

Das stinkt doch zum Himmel. Verschwörung oder pennt da jemand bei Mozilla?

Sorry, das mit dem Reiter "Server" hatte ich übersehen. (Gedanklich ausgeblendet ;-))
Ich habe mir mal extra ein weiteres Test-Benutzerkonto angelegt. Und, wie wahr, dort stehen unter "Server" die alten ehemals unter Herausgeber gelisteten Einträge drin.
Das ist IMHO aus zwei Gründen falscht:
1.) Weil es sich nicht um Server, sondern um Herausgeber handelt, und
2.) weil die meisten davon längst abgelaufen oder zurückgezogen (revoked) sind.
Ich kanns nicht verstehen und stimme dir bei deiner Einschätzung voll zu.

Normalerweise sind da ja nur Zertifikate gespeichert, welche nicht durch von eingetragenen Herausgebern ihre Vertrauswürdigkeit geerbt haben. (So genannte "Ausnahmeregeln" u.a.). Also Einträge, welche von dir selbst verursacht wurden.

Ich habe mir mal "die kleine Mühe" gemacht, und sowohl in meinem eigenen Benutzerkonto wie auch unter dem Testkonto alle Einträge unter Server gelöscht. Wirklich alle, auch die Einträge von Zertifikaten meiner eigenen CA (verwendet u.a. in meinem NAS, meinen drei RasPi, und einigen anderen Geräten).
Mal sehen, was bei den nächsten Updates des Fx oder zumindest der Zertifikatsdatei passiert.

Und dann kannst du ja selbstverständlich bei BugZilla eine entsprechende Frage stellen ... . Wenn du das machen solltest, sage hier Bescheid. Ich vote gern mit. Nur, um selbst ein sauber formuliertes Ticket aufzumachen, reichen meine Englischkenntnisse leider nicht aus. Ich bin zufrieden, dass ich engl. Fachtexte einigermaßen gut lesen und verstehen kann.


MfG Peter

Hallo Peter,

das mit dem Ticket bei Bugzilla muss ich mir reiflich überlegen, weil mein Englisch auch nicht gerade das Beste ist... ps:

Ich habe den ganzen Sachverhalt mal meinem Kollegen geschildert. Er hat noch eine andere Möglichkeit ins Spiel gebracht, die sich auch sehr plausibel anhört:
Es könnte eine Blacklist sein.
Sie soll verhindern, dass Hacker, Viren o.ä. durch einen Trick oder ein Schlupfloch mit Hilfe dieser Zertifikate Zugang zum PC bekommen. Anfragen von/mit diesen Zertifikaten könnten evtl. gleich automatisch von Firefox abgewehrt werden.

ALLERDINGS: Warum zum Geier nennen sie es dann nicht Blacklist und machen es für den Nutzer so einfach, diese Liste zu manipulieren?

Nunja, es würde ins Bild passen, da ja die lieben Leute von Mozilla in ihrer unendlichen Weisheit auch den Min.-Level und den Max.-Level bei der SSL/TLS-Verschlüsselung in den about:config-Bereich verschoben haben. :/

Alles sehr mysteriös.

Das wäre dann aber eine sehr schlecht gemachte Blacklist.
Ein Zertifikat, welches abgelaufen ist, ist abgelaufen. Ohne wenn und aber. Und es spielt dann auch keine Rolle, ob es (wenn eine Zertifizierungsstelle) unter Herausgeber oder Server steht. Es ist an jeder Stelle unnütz - richtet aber keinen Schaden an.

Das "Leben" eines Zertifikates wird ja auf zweierlei Art beendet: durch Ablauf der eingetragenen und dort nicht veränderbaren Gültigkeit (das Z. ist ja signiert), oder durch Eintrag in eine Sperrliste (crl).
Und hier gibt es auch wieder zwei Möglichkeiten, diesen Umstand zum Client zu bringen: indem der Client diese crl herunterlädt und auswertet, oder indem der Herausgeber einen OCSP-Responder betreibt, bei dem der Client nachfragt.
Eine Sperrliste ist nichts anderes als eine im Klartext vorliegende Liste der zurückgezogenen, also vor ihrem Ablauf gesperrten, Zertifikate. Diese crl ist wiederum vom Herausgeber signiert. Sie wird auch immer mit einem Gültigkeitszeitraum versehen, manche TC veröffentlichen pauschal bis zu 2x täglich eine neue crl, manche aller paar Wochen. Aber immer nach einer neuen Sperrung (zumindest, wenn es sich um seriöse Herausgeber handelt ...). Und auch wenn ein TC (meist wegen Kompromittierung) dicht gemacht wird, dann werden bis zum Ablauf der Herausgeberzertifikate Sperrlisten veröffentlicht. Das übernimmt dann meistens ein anderer Dienstleister. So macht es zum Bsp. auch das TC-TrustCenter in Hamburg.
Nachteil der Sperrliste: sie wird immer größer und kann bis zum natürlichen Ablauf der Zertifikate bei einem aktiven TC einige MB betragen, die ja immer wieder heruntergeladen werden müssen.

Die zweite Variante ist der o.g. OCSP-Responder. Das ist ein spezieller Serverdienst, welcher ebenfalls aus einer Sperrliste gespeist wird, und auf Anfrage eines Servers "blitzschnell" (!) antwortet, ob ein bestimmtes Zertifikat "good", "bad" oder "unknown" ist. Selbstverständlich ist auch diese Antwort signiert.


Die "Mozillen" haben (IMHO leider) die Möglichkeit einer crl-Auswertung über Bord geworfen und (nach Setzen des entsprechenden Hakens in den Einstellungen) lediglich noch die Nutzung eines OCSP-Responders als Möglichkeit der Prüfung. Das ist ja eigentlich sehr gut (und vor allem sehr schnell!), aber nicht jedes TC bietet auch einen OCSP-Responder an.


MfG Peter

Hallo Peter,

ich habe mal bei der mozilla-Hilfe nach Zertifikaten gesucht. Da dort zum besagten Reiter "Server" nichts zu finden ist, habe ich gemeldet, dass diese Seite mir nicht weitergeholfen hat und in dem kleinem Textfeld habe ich mal die ganzen Fragen und Überlegungen von uns in Kurzform abgeladen. Evtl. hilft's.

Dann bin ich über die Chat-Funktion beim Camp Firefox gestolpert (http://www.camp-firefox.de/chat) und habe dort die Fragen gestellt.
Der Dialog kam zwar recht schnell zu stande, aber war dann auch recht schnell wieder vorbei:

<BeastXXL>: hallo, ich habe eine Frage zu den Firefox-Einstellungen: Erweitert --> Zertifikate --> Zertifikate anzeigen --> Reiter "Server" Warum gibt es diesen Reiter und warum stehen dort unsichere und abgelaufene Zertifikate drin?
<TheOne>: damit sie blockiert werden
<BeastXXL>: ok, aber warum sind sie so offen und leicht manipulierbar für den User? Ich dachte abgelaufene Zertifikate werden automatisch gelöscht... und dort steht eines, dass 2004 abgelaufen ist...
<TheOne>: diese Zertifikate werden von Firefox mitgeliefert
<BeastXXL>: Warum werden unsichere und abgelaufene zertifikate immer noch mitgeliefert? Was bei Wikipedia zu DigiNotar steht, klingt auch nicht gerade vertrauenserweckend
<TheOne>: Ich wiederhole: Damit sie geblockt werden
<TheOne>: bzw. eine Warnung angezeigt wird, falls ein Server das Zertifikat verwendet
<BeastXXL>: OK, wäre dann die Bezeichnung "Blacklist" oder "Blocklist" nicht besser als "Server". Und ggf. wäre es etwas sicherer diese zertifikate für user nicht ganz so leicht manipulieren zu lassen. Diese Liste also praktisch in einer versteckten Datei ablegen. So könnte jemand wie ich auch die Idee kommen, sie zu löschen und macht den Browser unserer
<BeastXXL>: auf statt auch
<BeastXXL>: unsicherer statt unserer

Zum Vergrößern anklicken....

Danach kam nichts mehr. Ich vermute TheOne fühlte sich etwas verarscht und hatte keine Lust mehr, sich darüber den Kopf zu zerbrechen.

Es sieht tatsächlich danach aus, dass dies eine Blacklist ist und die Programmierer keine Lust hatten, dieses Problem es etwas anders zu lösen.
Solltest du oder jemand anderes noch etwas tiefergehende Infos dazu bekommen, dann nur her damit.