OS X El Capitan Einige Root Zertifikate laufen Ende September 2021 ab, El Capitan und früher

Ach den Artikel sollte ich vielleicht mal lesen.... :Pfeif:
Bislang ist das was ich hier von mir gebe nur unnützes allgemeinwissen... :zwinker:

Meine Erfahrungen (die habe ich in der Tat schon gemacht) mit selbst importierten Root-Zertifikaten sind... Durchwachsen...
Ich hatte es immer meist, dass man trotz korrektem Import und Immer Vertrauen noch angemeckert wird.

Vielleicht können wir mal eine Anleitung und liste mit den Zertifikaten erstellen, die Sinn machen und und wo man die bekommt.

Vermutlich wird es sowas auch schon geben... Die bei Linux sind ja letztlich auf die selben Zertifikate angewiesen. :crack:
Hat Apple nicht eine Liste der Zertifikate, die sie Mitliefern?
Gibt es eine Funktion, die Zertifikate in macOS automatisiert auf Standard zurückzusetzen?
Du bastelt dann ein DAU-Fähiges Skript, dass die Zertifikate mittels curl oder sowas Herunterlädt und automatisch importiert...

mal als anfang: Telekom Globalroot: https://sbca.telesec.de/sbca/ee/ca-certificate/list.html
 
Zuletzt bearbeitet:
tocotronaut schrieb:
Und du bastelt dann ein Skript, dass die Mittels curl oder sowas Herunterlädt und automatisch importiert...
Zum Vergrößern anklicken....

:LOL: vergiss es.

Ich habe keine Lust meine Freizeit für ein uraltes Betriebssystem zu opfern, dass ich selbst nicht nutze und das auch mit aktuellen Root-Zertifikaten genügend offene Sciherheitslücken aufweist, die seit Jahren nicht mehr behoben worden sind.

Aber vielleicht ist ja einer der vielen andern User, die 10 Jahre und länger ihre Geräte nutzen wollen, bereit, etwas zu tun.
 
  • Gefällt mir
Reaktionen: tocotronaut und dg2rbf
tocotronaut schrieb:
Zertifikate sind Geplante Obszoleszenz mit Ansage.
Zum Vergrößern anklicken....
Du kannst sowohl auf iOS als auch MacOS/OSX Zertifikate selbst installieren. Nur weil Apple nach 10 Jahren kein Update mehr liefert heißt das nicht, dass Apple dir nicht erlaubt das Problem selbst zu lösen.

drd[cc] schrieb:
Das ganze nur bis zum iPhone 4s (late 2011) zu denken halte ich für zu kurzsichtig, weil das Problem nach und nach immer aktuellere Geräte betrifft.
Zum Vergrößern anklicken....
Gerade Apple aktualisiert die Smartphones länger als die meisten anderen Hersteller. Allein die Tatsache dass nur das 10 Jahre alte iPhone 4s betroffen ist zeigt wie lang hier Updates kommen. Und warum nicht einfach ein Problem selbst lösen? Nach 10 Jahren muss man schon bereit sein, ein bisschen Troubleshooting zu betreiben. Im Gegenzug erspart man sich einen Neukauf.

Das sind doch zwei ganz unterschiedliche Herangehensweisen, wenn ich ein Gerät brauch das möglichst einwandfrei läuft, zB weil als Arbeitsgerät mein Einkommen davon abhängt, dann setze ich nicht auf 8 Jahre alte Hardware, die jederzeit ausfallen kann und beschwere mich beim ersten Softwarefehler über den fehlenden Support.

Macschrauber schrieb:
Da steckt ein iPhone 4 als Zuspieler drin. Find ich jetzt auch nicht so prickelnd wenn nächsten Monat die RadioApp seine Arbeit verweigern würde. Schaumermal.
Zum Vergrößern anklicken....
...installier dir das Zertifikat, jetzt wo du hier im Thread schon davon erfahren hast. Du musst ja nicht abwarten, bis was ausfällt. Hier runterladen, installieren und nachträglich muss man in den Settings noch einstellen, dass das Gerät dem immer vertrauen soll: https://letsencrypt.org/certs/isrgrootx1.pem

drd[cc] schrieb:
Stattdessen gehen die Hersteller aber den anderen Weg und nageln die Geräte immer mehr zu, um obiges zu unterbinden, weil deren Geschäftsmodell bedingt, neue Geräte zu verkaufen.
Zum Vergrößern anklicken....
Was die Zertifikatsinstallation betrifft, nagelt Apple gar nichts zu. Kein altes OS ohne Support bekommt neue Zertifikate automatisch, egal ob bei Apple oder sonstwo.

drd[cc] schrieb:
Die Frage ist, ob es grundsätzlich ok ist, ältere Geräte quasi softwareseitig "abzuschalten"
Zum Vergrößern anklicken....
Das ist überhaupt nicht die Frage., weil niemand softwareseitig etwas abschaltet. Du tust so als hätte Apple hier die Wahl, ob sie die Zertifikate ablaufen lassen. Wenn Apple die Geräte so einstellen würde, dass abgelaufene Zertifikate trotzdem noch akzeptiert werden, wäre das eine grobe Sicherheitslücke! Das Zertifikat um das es hier geht gehört Apple gar nicht, und selbst wenn, könnten sie nicht verhindern dass es abläuft. Du kommentierst mit ohne dir überhaupt die Mühe zu machen zu verstehen worum es geht.
 
  • Gefällt mir
Reaktionen: BrIII, dodo4ever und dg2rbf
lisanet schrieb:
Aber vielleicht ist ja einer der vielen andern User, die 10 Jahre und länger ihre Geräte nutzen wollen, bereit, etwas zu tun.
Zum Vergrößern anklicken....

Das ist genau der Punkt.
Aktuell kann man da nichts tuen, weil es Herstellerseitig unterbunden wird.
Da helfen auch kleinteilige Regelungen seitens der EU nicht weiter.

Statt dem Hersteller regulatorisch zu zwingen Updates zu liefern, wäre ich dafür das er seine Geräte entsprechend dokumentieren muß (Schaltpläne/Bauteilstücklisten) und den Ersatzteilmarkt nicht künstlich beschränken darf; gern auch mit einer zeitlichen Latenz, die gleich der Herstellergarantie ist.
Wer nur ein Jahr garantie anbietet, muß halt in einem Jahr liefern, wer fünf Jahre Garantie bietet hat dadurch einen Vorteil.

Wenn man dritten nach Ablauf der Garantie zwinged Zugang zum Reperatur-/Instandhaltungsmarkt bietet, wäre das etwas gutes.
Wenn man dritten erlauben würde, nach Ablauf der Garantie, Software für Geräte entwickeln zu können, wäre das etwas gutes.

Der Rest regelt sich dann von selbst...
 
OmarDLittle schrieb:
Nur weil Apple nach 10 Jahren kein Update mehr liefert heißt das nicht, dass Apple dir nicht erlaubt das Problem selbst zu lösen.
Zum Vergrößern anklicken....
Der Obszoleszenz-Rant war auf Zertifikate im allgemeinen ausgerichtet.

macOS ist das eine - da werden wir vermutlich nur mittelblöde Auswirkungen haben.
iOS ist das nächste - können wir da Zertifikate erneuern/installieren? Wüsste ich ad hoc gerade gar nicht.

Und Embedded Devices mit fest eingebrannten Zertifikaten sind das nächste...
Diverse Router hatten lange Zeit Zertifikate mit nur einem Jahr laufzeit an Bord :faint:
 
  • Gefällt mir
Reaktionen: dg2rbf
OmarDLittle schrieb:
Das ist überhaupt nicht die Frage., weil niemand softwareseitig etwas abschaltet. Du tust so als hätte Apple hier die Wahl, ob sie die Zertifikate ablaufen lassen.
Zum Vergrößern anklicken....
Das habe ich nie behauptet, siehe #7
"Das Problem ist ja nicht das die Zertifikate ablaufen, sondern das sie nicht erneuert werden."

OmarDLittle schrieb:
Was die Zertifikatsinstallation betrifft, nagelt Apple gar nichts zu. Kein altes OS ohne Support bekommt neue Zertifikate automatisch, egal ob bei Apple oder sonstwo.
Zum Vergrößern anklicken....
Apple nagelt Upgradepafade zu, in dem sie neue OS auf alten Geräten ausschließen.

Das sehe ich angesichts immer steigender Rechenleistung als potentielles Problem.

Welches Alltagsszenario kann ein iPhone 4s (late 2011) heute (late 2021) nicht mehr abdecken, wenn es ein aktuelles OS hätte und welches Alltagsszenario kann ein iPhone 13 (late 2021) in 2031 nicht abdecken?
Wie verschiebt sich diese Betrachtung, wenn man das Betrachtunsgzeitfenster auf 2016 (iPhone7) - 2026 verschiebt?

Das ein iPhone 4s (1GHz Dualcore A5, 512MB RAM; 16-64GB SSD) aus dem Support fällt, kann ich irgendwo noch nachvollziehen.
Das entspricht 3,14x mal Daumen dem, was ich Anno 2001 als Desktop hatte (Dual-Pentium3 933MHz, 4x 128MB RAM, 4x 18GB SCSI Storage).
Das mein erster MacMini '07 (C2D/3GB RAM/32 SSD) aus dem Support gefallen ist, verstehe ich auch.

Später hatte ich einen 2011er MacMini (i5-2520M/16GB/250GB Sata-SSD/1TB Sata-SSD) der als HTPC noch heute treue Dienste leistet.
Apple hat den support seit 10.13.x/High Sierra eingestellt.
Unter Linux/OpenElec ist das trotzdem noch ein toller HTPC.

Das Szenario sehe ich für künftige Geräte nicht, weil Apple deren Aufrüstung, Umrüstung und damit deren Weiternutzung aktiv unterbindet.

Mal ganz bös' formuliert-> Apple sagt gerade -> werft eure 2011er iMacs mit i7/32GB/Sata-SSDs in den Müll...
 
drd[cc] schrieb:
Welches Alltagsszenario kann ein iPhone 4s (late 2011) heute (late 2021) nicht mehr abdecken, wenn es ein aktuelles OS hätte
Zum Vergrößern anklicken....
Mit iOS 15 wären der Prozessor und der RAM eines iPhone 4S schlicht überfordert.
 
OmarDLittle schrieb:
...installier dir das Zertifikat, jetzt wo du hier im Thread schon davon erfahren hast. Du musst ja nicht abwarten, bis was ausfällt. Hier runterladen, installieren und nachträglich muss man in den Settings noch einstellen, dass das Gerät dem immer vertrauen soll: https://letsencrypt.org/certs/isrgrootx1.pem
Zum Vergrößern anklicken....


Danke, werde ich mich drum kümmern, testweise auch auf El Capitan.

Bin halt seit gestern Abend noch nicht dazu gekommen ;-)

Ich wollte hier auch das Thema anstoßen damit man nicht nächsten Monat vor Problemen steht.

Mir gefällt nicht die Pauschalisierung von Manchen hier. Meine Frau nutzt noch einen 2008er iMac unter El Cap für etwas Office / Internet. Für alles Andere reicht ihr ein iPad.

Typischer Fall, ohne da aktiv was zu tun würde die Kiste dann von der Nutzung in Teilen ausfallen. Und das bestimmt in vielen Haushalten. Gut für die Bastler, der Markt wird mit gebrauchten alten iMacs wahrscheinlich bald gut gefüttert.

Ich / wir bekommen das geregelt, wird halt was nachinstalliert oder die Kiste auf High Sierra gehoben. Dazu ist halt auch nicht jeder fähig oder willig.
 
  • Gefällt mir
Reaktionen: dg2rbf
Macschrauber schrieb:
Typischer Fall, ohne da aktiv was zu tun würde die Kiste dann von der Nutzung in Teilen ausfallen.
Zum Vergrößern anklicken....

Nochmal zu dem Dokument oben, dort steht, mit Firefox hat man diese Probleme nicht.
Gibt es sonst Einschränkungen auf ElCapitan, die dort nicht erwähnt sind?
 
Ich schätze mal das Apple Mail auch Probleme machen wird.
 
Die Frage ist jam wie lange so ein Pflicht dann bestand hat. Es wird wohl klein Hersteller gezwungern werden können nach 100Jhren noch ein Update rauszubringen.
 
tocotronaut schrieb:
Es kommt immer darauf an, mit welchem Root-Zertifikat der jeweilige Server abgesichert ist.
Zum Vergrößern anklicken....

Wieso heißt es dann, Firefox hat seine eigenen Zertifikate und hat daher keine Probleme?
Wieso betrifft es dann nur Mail und nicht auch z.B. Thunderbird (das ich nutze)?
 
Thunderbird ist ein Firefox mit anderer Oberfläche.
Hat auch seine eigenen Zertifikate.

Und auch bei einem alten Firefox/Thunderbird kann dir sowas Passieren.
 
walfreiheit schrieb:
Mit iOS 15 wären der Prozessor und der RAM eines iPhone 4S schlicht überfordert.
Zum Vergrößern anklicken....

Bei der CPU-Leistung würde ich da zustimmen, aber auch der 32bit-A5 konnte schon 4GB RAM adressieren.
Das erste iOS-Gerät mit 4GB RAM war das iPad Pro 12,9' (2015; A9X/4GB/ 32-256GB SSD).

Die aktuellen iPhone 13 (ohne Pro) werden auch mit 4GB RAM ausgeliefert.
Da hat sich seit sechs Jahren quasi nichts getan...

Ich sehe da eine künstliche Limitierung seitens des Herstellers, um die Geräte mit 2GB/3GB demnächst aussortieren zu können.
 
tocotronaut schrieb:
Thunderbird ist ein Firefox mit anderer Oberfläche.
Hat auch seine eigenen Zertifikate.

Und auch bei einem alten Firefox/Thunderbird kann dir sowas Passieren.
Zum Vergrößern anklicken....

OK, die Versionen für ElCapitan sind dann soweit ok ... lese ich da heraus. Das reicht mir ja soweit.
 
Könntest mal von einem Backup starten und die Uhr vorstellen (timeserver Sync dabei weghaken)
 
MacEnroe schrieb:
Wieso heißt es dann, Firefox hat seine eigenen Zertifikate und hat daher keine Probleme?
Wieso betrifft es dann nur Mail und nicht auch z.B. Thunderbird (das ich nutze)?
Zum Vergrößern anklicken....
Es betrifft alle Programme, die auf den Zertifikatsspeicher des OS zugreifen. Firefox und Thunderbird sind zwei von wenigen Ausnahmen, die einen eigenen Speicher haben. Da kann Mozilla mit einem Programmupdate auch jederzeit neue Zertifikate einspielen. Bei anderen Apps muss das Zertifikat im OS-Speicher erst installiert werden. Wenn ein Hersteller die Updates einstellt, muss man sich dann selbst drum kümmern.

drd[cc] schrieb:
Das habe ich nie behauptet, siehe #7
"Das Problem ist ja nicht das die Zertifikate ablaufen, sondern das sie nicht erneuert werden."
Zum Vergrößern anklicken....
Natürlich werden die erneuert. Das Rootzertifikat von dem wir hier reden ist vor Jahren bereits erneuert worden. Die werden lange vorm Auslaufen erneuert. Du kannst es jederzeit installieren. Ich habe es in meinem Post auch verlinkt. Niemand hindert dich daran, den Link anzuklicken, das Zertifikat somit herunterzuladen und zu installieren.

drd[cc] schrieb:
Mal ganz bös' formuliert-> Apple sagt gerade -> werft eure 2011er iMacs mit i7/32GB/Sata-SSDs in den Müll...
Zum Vergrößern anklicken....
Warum? Kannst du das auch begründen? Wir sind hier immer noch im Thread wo es um Rootzertifikate geht, und ich habe dir bereits erklärt dass du jederzeit selbst Zertifikate installieren kannst, auf iOS, auf MacOS, auf jedem OS! Warum willst du einen iMac in den Müll werfen, weil ein einziges von dutzenden Zertifikaten abläuft, das du dir jederzeit in 5 Minuten einspielen kannst? Was du sagst ergibt schlicht keinen Sinn.

Du weißt nicht wovon du sprichst, sonst würdest
 
  • Gefällt mir
Reaktionen: dg2rbf
IMG_2646.PNG



Das sollte erstmal reichen bis 2035. Ist ein iPad 4 unter iOs 10.3.3

Damit es zusammenpasst noch mal der Link von @OmarDLittle:
https://letsencrypt.org/certs/isrgrootx1.pem
 
  • Gefällt mir
Reaktionen: chris25, tocotronaut, appelg4 und 2 andere
  • Gefällt mir
Reaktionen: BrIII, chris25 und Macothan
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten