Webseiten-Werkzeuge

Benutzer-Werkzeuge


Internetzugang zur Prüfung der Zertifikate

Ausgangslage

Für den Einsatz mit neueren Versionen der Windows-Betriebssysteme hat Microsoft für einige Teilbereiche des Systems die Nutzung von sogenannten digitalen Zertifikaten vorgesehen - teilweise (Treiber) sogar vorgeschrieben. Ein digitales Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Programmen oder Bibliotheken bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Damit kann zum einen die Urheberschaft von Programmen und Bibliotheken belegt, und gleichzeitig sichergestellt werden, dass die Programme und Bibliotheken seit ihrer Veröffentlichung nicht manipuliert worden sind.

Das digitale Zertifikat enthält zu seiner Prüfung einen Verweis auf die vertrauenswürdige Institution, die das Zertifikat ausgestellt hat (Certificate Authority, CA). Um die Gültigkeit eines Zertifikats zu prüfen, muss von diesem Aussteller meist via Internet eine Bestätigung eingeholt werden.

Zertifikate

In convert4print sind nicht nur die systemkritischen Teile (Treiber, Netzwerkdienste) durch Zertifikate geschützt, sondern jede ausführbare Systemkomponente. Da es Microsoft bis zum heutigen Tag unterlässt, die Zertifikate vor der Ausführung eines Programms oder einer Bibliothek zu prüfen, ist es prinzipiell möglich, convert4print durch Austausch oder Manipulation von Systemkomponenten zu kompromitieren.

Aus diesem Grund überprüfen sich alle Programme und Bibliotheken, aus denen convert4print besteht, beim Starten selbst - zum Teil sogar während der gesamten Laufzeit (bei den Netzwerkdiensten). Dadurch wird eine deutlich höhere Sicherheitsstufe erreicht, als dies bei unzertifizierten oder zertifizierten, aber nicht überprüften Programmen der Fall ist.

Je nach Konfiguration des Windows-Systems erfolgt die Überprüfung von Zertifikaten in der Regel online via Internet oder alternativ lokal gegen einen Zertifikatsspeicher, in den vertrauenswürdige Zertifikate aufgenommen werden können.

Sperrlisten

Ein wesentliches Sicherheitsmerkmal von Zertifikaten ist, dass sie widerrufen werden können, wenn die Zertifikate selbst oder die ausstellende Stelle kompromitiert worden ist. Aus diesem Grund stellen alle Zertifizierungsstellen sogenannte Sperrlisten zur Verfügung, die ungültig gewordene Zertifikate auflisten.

Selbst wenn die convert4print betreffenden Zertifikate alle im lokalen Speicher für vertrauenswürdige Zertifikate liegen, wird daher bei einer Prüfung immer noch ein Zugriff via Internet auf diese Sperrlisten notwendig.

Soll eine convert4print-Installation auf einem Rechner betrieben werden, der überhaupt keinen Zugriff ins Internet haben darf, muss also auch die Überprüfung der Sperrlisten im Windows-System abgeschaltet werden (Artikel zum Thema).

Hinweise

  • Zu diesem Thema ist bei Microsoft sehr umfangreiche Dokumentation vorhanden. Auf eine Dokumentation an dieser Stelle wird daher verzichtet (Artikel zum Thema).
  • Die von der SPE Systemhaus GmbH genutzten Code-Signing-Zertifikate haben meist nur eine Laufzeit von zwei oder drei Jahren. Bei abgestellter Online-Prüfung kann es daher notwendig werden, nach einem Update von convert4print den Zertifikatsspeicher manuell um neue Zertifikate zu ergänzen. Die ebenfalls möglicherweise zeitgleich wechselnden Zwischen- und Stammzertifikate werden ab Windows 7 mit jedem Update automatisch in den lokalen Zertifikatsspeicher übernommen und müssen nicht händisch nachgeladen werden, vorausgesetzt natürlich, der Windows-Update-Service ist aktiv.

    Obwohl die Code-Signing-Zertifikate nach spätestens zwei oder drei Jahren ablaufen, ist es nicht notwendig, rechtzeitig eine neue Version von convert4print zu installieren. Da alle Programme und Bibliotheken auch noch ein sehr viel länger gültiges Timestamp-Zertifikat der CA mit sich führen, wird der Zeitpunkt der Zertifizierung des Programms oder der Bibliothek durch die SPE Systemhaus GmbH festgehalten, und in Wirklichkeit erfolgt jedes mal nur eine Überprüfung, ob das Code-Signing-Zertifikat zum Zeitpunkt der Zertifizierung gültig war.

    Selbst wenn eine bestimmte convert4print-Version über den Ablauf der Timestamp-Zertifikate hinaus genutzt werden soll, wird sie aufgrund dieses Mechanismus nicht ungültig.
  • Die Überprüfung der Sperrlisten ist im Falle von convert4print Dank der Timestamping-Zertifikate also tatsächlich entbehrlich. Die fehlende Überprüfung kann aber für das restliche Windows-System unter Umständen erhebliche Sicherheitslücken auftun.
  • Der durch die Zertifikatsprüfung erzeugte Netzwerkverkehr bewegt sich im Rahmen weniger Kilobyte pro Stunde und sollte unter normalen Bedingungen keinerlei Problem darstellen. Die SPE Systemhaus GmbH empfiehlt daher immer, die Online-Überprüfung der Zertifikate zuzulassen!
convert4print/tips/tip49.txt · Zuletzt geändert: 2018-04-06 16:52 (Externe Bearbeitung)