El Capitan Einige Root Zertifikate laufen Ende September 2021 ab, El Capitan und früher

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
Meiner Meinung nach sollten 20-30 Jahre Zertifikatsupport für Elektrogeräte gesetzlich Festgeschrieben werden.
Dass die so schnell ablaufen ist mehr als ärgerlich.

Apple hat schon zweimal alle Installer zerstört.
Das erste mal kann man als Versehen durchgehen lassen.
Das zweite mal war offensichtlich Vorsatz und hätte den Unternehmensgewinn meiner Meinung nach gleich um 1-2 Prozent schmälern müssen.

Apple & Co brechen sich doch keinen Zacken au der Krone, wenn sie da ein paar Kilobyte Update nachreichen.
Das einzige was die Firmen da im Grunde machen müssen ist, sich einen Wecker zu stellen und dann nen Praktikanten nen halben tag dranzusetzen.
Man kann das ja auch Auslagern. Spezialfirmen, die die möglichkeit an die Hand bekommen, Herstellerübergreifend für Legacy-geräte Zertifikate auszurollen.

Andererseits bin ich auch gegen Vorgaben. Natürlich auch niemand in seiner Unternehmerischen Freiheit eingeschränkt werden.
Das was da gerade mit der USB-C und Lightning Port EU Vorgabe passiert ist ein Unding.
 
Zuletzt bearbeitet:

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Meiner Meinung nach sollten 20-30 Jahre Zertifikatsupport für Elektrogeräte gesetzlich Festgeschrieben werden.
Dass die so schnell ablaufen ist mehr als ärgerlich.

puuh, 20-30 Jahre Gültigkeit sind für Root-Zertifikate schon arg lang. Selbst die 10 Jhare sind im Grunde schon eine Zeitdauer, die den Sinn einer Gültigkeitsdauer nicht unbedingt besser machen.

Das ganze Thema liegt ja auch überhaupt nicht an der Gültigkeitsdauer eines Root-Zertfakates. Das kann von der CA recht einfach erneuert werden.

Das Thema ist hier doch, dass ein nicht mehr unterstütztes Betriebssystem eben auch keine neuen Zertifiakte erhält. Es ist eben nicht mehr unterstützt. Wenn man ein nicht mehr unterstütztes System nutzt, muss man damit rechnen, das irgendwelche Dinge auch mal nciht mehr funktioneiren, wenn sie die Zusammenarbeit mit anderen Systemen, wie hier anderen webservern, betreffen. Das gute an der Sache mit Root-Zertifakten ist aber, dass man das sehr einfach selbst beheben kann. Ist also in meinen Augen alles mal wieder nur ein Anlass um zu meckern.
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
nicht zwingend gültigkeit, sondern eben die Pflicht zum Nachsteuern...

Das muss zu einer Selbstverständlichkeit werden.
Wie gesagt, man kann solche Aufgaben auch Auslagern. Das sollte in diesem Fall nicht mal sonderlich kompliziert sein.
Und wenn es eine Pflicht gibt wird es im gleichen Atemzug Automatismen geben.

Denn es ist ja - wenn man es genau nimmt - nicht mal ein Thema, das manuell bearbeitet werden muss.
Sowas kann durch den gschickten Einsatz von IT komplett automatisch erfolgen.

Es ist im Grunde ein Armutszeugnis für die ganze Branche.
 
Zuletzt bearbeitet:

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Wichtig ist der Hinweis. Deshalb der Thread.

ich benutze selber Apple Rechner seit etwa 1980 und hatte noch nie mit einem Zertifikat zu tun.

ok Abseits des Wissens das die Probleme bei zum Beispiel älteren Mac Os Installern machen.

jetzt ist das thematisiert und zumindest für das eine Root Zertifikat eine einfache Lösung aufgezeigt.

passt doch :-]
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
nicht zwingend gültigkeit, sondern eben die Pflicht zum Nachsteuern...
so ganz verstehe ich dich nicht. Es geht doch um das Root-Zertifikat. Das wird doch erneuert. Das ist doch schon im Eigeninteresse der CA und auch aller webistes, die diese CA benutzen. Von dieser Seite gibt es Null Probleme.

Ich habe den Eindruck, dass du forderst, dass alle Betriebssysteme, auch solche die nicht mehr supportet werden, weiterhin Updates erhalten, mit welchem erneuerte Root-Zertifikate ausgeliefert werden. Meinst du das? Falls ja, wo würdest du die Grenze bei nicht mehr unterstützten Systemen ziehen? 10 Jahre, oder wie du angeführt hast bei 30 Jahren? Dann wären wir bei Windows NT und Co. Ist das echt dein Ernst?
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
Im grunde fordere ich einen Automatismus, mit dem alte Systeme selbst nach neuen Root-Zertifikaten Suchen
Auch dann, wenn der Hersteller das Zeug zum Alteisen gelegt hat.

Weil das system - wie es jetzt läuft - ist Softwareseitige geplante Obszoleszenz.

Die genaue Ausgestaltung ist mir eigentlich relativ Egal...

- Komplett automatische Aktualisierung.
- Neues Zertifikat laden und vom Nutzer bestätigen lassen.
- Meintwegen sollen die Systeme eine Anleitung zeigen wie der Kunde das Zertifikat selbst organisieren und einspielen kann.

- Sinnvoll ist auf jeden Fall eine Warnung des Systems kurz bevor so ein Zertifikat ausläuft. Dass der Kunde (wie in diesem Thema) Agieren kann und nicht Reagieren Muss.

Das irgendein Tweet eines einzelnen (ja, es war hier ein Blogeintrag von Scott Helme - aber ich denke ich versteht was ich meine) Viral gehen muss damit man davon was mitbekommt kann es doch echt nicht sein.

Das heisst natürlich nicht, dass alte Systeme jetzt nochmal angefasst werden müssen.
Aber einen Standard zu schaffen, mit dem das Zertifikatezeug in Zukunft automatischer funktioniert wäre in meinen Augen sinnvoll.
 
Zuletzt bearbeitet:

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Weil das system - wie es jetzt läuft - ist Softwareseitige geplante Obszoleszenz.

irgendwie reden wir echt aneinander vorbei. Wenn ein OS nicht mehr supportet wird, dann kannst du das sicher als geplante Obszoleszenz bezeichnen. Das hat aber nichts mit Root-Zertifikaten zu tun. Die werden erneuert. Das OS wird nicht mehr erneuert.

- Sinnvoll ist auf jeden Fall eine Warnung des Systems kurz bevor so ein Zertifikat ausläuft. Dass der Kunde (wie in diesem Thema) Agieren kann und nicht Reagieren Muss.

Eine derartige Warnung gibt es. Die nennt sich Update des OS. Wenn der User sich nun entscheidet, das OS nicht upzudaten, forderst du nun dass eine erneute Warnung erfolgt, dass das OS zwar nicht unterstütz wird, aber ein Root-Zertifikat erneuert werden soll. Das passt doch nicht zusammen. Da wäre es doch x-mal sinnvoller, das OS upzudaten und damit gleichzeitig die Root-Zertifikate.

Klar kannst du fordern, dass ein OS 30 Jahre mit updates versorgt werden soll. Wenn du solch alte Systeme fürs surfen im Netz nutzen willst, okay. Jedem sein Himmelreich.
 

MacEnroe

Aktives Mitglied
Registriert
10.02.2004
Beiträge
22.016
Ich habs immer noch nicht ganz verstanden.

Mit Firefox und Thunderbird kann ich also in Zukunft arbeiten. Aber haben andere Dienste keine Zertifikate,
so dass ich mit ElCapitan evtl. Probleme bekommen könnte?

- FTP-Programme (ForkLift ...)
- GoogleEarth
- iCal, Notizen, iCloud, AppStore ...
- Banking (MoneyMoney, Jes)
- PhotoSync
- Adobe CS 5.5 – Server

Hat davon etwas mit Zertifikaten zu tun?
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
Also ich habe noch keine Warnung seitens Apple gesehen, dass das Betriebssystem nicht mehr unterstützt wird!

Ich habe Oft mit Kunden zu tun die mit Uralten Systemen kommen und die sagen "Softwareaktualisierung hab ich gemacht zeigt keine Updates."
Zum Teil werden sie von Webseiten auf einen alten Safari hingewiesen Offiziell kommt da nix.

Das ist ja mittlerweile bei Apple Besser, da Upgrades und Updates an der gleichen stelle angezeigt werden.
Eine Warnung kommt aber trotzdem nur indirekt.

Ich fordere, die Zertifikate automatisch zu Aktualisieren, nicht das System an sich.
Das bekommt Apple auch auf Altsystemen! beim Virenscanner (xProtect/MRT) durchaus Hin.

@ MacEnroe
Ja.
Es kommt immer darauf an, ob die App sich auf den Zertifikatspeicher (Schlüsselbund) von Apple verlässt.
Firefox und Thunderbird sind ausnahmen, die haben ihren eigenen Zertifikatsspeicher, der von Mozilla gefüllt wird.
Das Problem kann da aber im grunde genau so auftreten.
Du kannst das aber beheben indem du die Zertifikate selbst installierst.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Ich fordere, die Zertifikate automatisch zu Aktualisieren, nicht das System an sich.
Das bekommt Apple auch auf Altsystemen! beim Virenscanner (xProtect/MRT) durchaus Hin.

Kannst du ja ruhig fordern. Das hilft dir zwar nicht unbedingt weiter, wenn andere Dinge eines nicht supporten Systems nicht mehr laufen, wie z.B. eine alte TLS-Version, aber immerhin hast du dann ein aktuelles Root-Zertifikat. Tolle Idee.
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
Natürlich ist das mit der Verhlüselung ein ähnlich gelagertes Problem.
Aber eine alte Verschlüsselung die unsicher ist ist ein anderes Kaliber als die reine Prüfung, ob eine Webseite authentisch ist.

Und nochmal:
Bei den Zertifikaten ist es im grunde Schludrigkeit die dazu führt, dass es nicht mehr geht.
Kein technisches Problem, sondern einfach fehlendes Problemverständnis und Unwille. (ob der Kosten oder sonstwas)

Das mag ich so nicht recht akzeptieren.
Ansätze, sowas zu lösen hab ich oben genannt.
Die bringen auch niemanden arg in Bedrängnis - wenn man sich mal Gedanken darum gemacht hat.

Sowas sollte in meinen Augen eher reglementiert werden als der blöde USB-C.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Ich habs immer noch nicht ganz verstanden.

Mit Firefox und Thunderbird kann ich also in Zukunft arbeiten. Aber haben andere Dienste keine Zertifikate,
so dass ich mit ElCapitan evtl. Probleme bekommen könnte?

- FTP-Programme (ForkLift ...)
- GoogleEarth
- iCal, Notizen, iCloud, AppStore ...
- Banking (MoneyMoney, Jes)
- PhotoSync
- Adobe CS 5.5 – Server

Ist da eher kein Problem zu erwarten?

Ich versuche es mal kurz zu erklären und du wirst sehen, dass die Sache gar nciht so komplex und dramtisch ist:

Ein Root-Cert läuft ab. Das tun die schon seit sie erfunden wurden. Üblich ist ein Gültigkeitsdauer von 10 Jahren. Alle Betriebssysteme liefern die Root-Zertifikate der vertrauenswürdigen CA (Certificate Authority. Das ist die Stelle, die das Cert heraus gibt) mit und halten diese Root-Zertifikate auch akutell mit dem ganz normalen Systemupdate.

Manche Browser (Bsp: Firefox) bringen die Root-Zertifikate selber mit. Diese werden (und müssen) dann durch ein Update des Browsers aktuell gehalten.

Also: machst du ein Systemupdate, hast du auch immer aktuelle Root-Zertifikate und daher kein Problem. Verwendest du einen Browser mit eignenen Zertifikaten musst du den Browser immer aktualisieren, da der Browser nicht auf die System-Root-Certs zugreift. Machst du das Update -> keine Probleme.

Probleme kriegst du nur, wenn du dein System oder den Browser nicht updatest. Dann kriegst du eben auch keine aktuellen Root-Zertifikate mehr.

Diese Root-Zertifikate werden eingesetzt - hier konkret - für https-Verschlüsselung von websites. Der website-Betreiber muss seinen web-server mit dem Root-Cert "signieren" lassen.

Da du nun auch das entsprechende Root-Cert auf dem System hast, kann dein Browser oder System prüfen, ob der website-Betreiber auch ein gültiges Cert hat, oder ob er dir nur das vortäuscht. Hast du das Root-Cert nicht, dass der website-Bettreiber verwendet aht, kriegst du eine Warnmeldung im Browser.

Root-Certs werden auch für die Signierung von S/MIME-Certs benutzt (dieses konkrete hier nicht). Auch da ist es also so, dass wenn ein E-Mail-Sender dir eine mit mit S/MIME signierte Mail schickt, kannst du die zwar lesen, aber wenn du nicht das Root-Cert hast mit dem das Cert des Absenders signiert wurde (du also ein altes, nicht supportetes System hast) zeigt dir Mail eine Warnung, das die Vertrauenswürdigkeit des Absenders nicht geprüft werden kann.

Du siehst, es ist nur dann ein Problem, wenn du alte System benutzt, die nicht upgedated werden. Das Problem äußerst sich in einer Warnung vor nicht vertrauenswürdigen websites, da du das aktuelle Root-Cert zur Prüfung nicht hast.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Und nochmal:
Bei den Zertifikaten ist es im grunde Schludrigkeit die dazu führt, dass es nicht mehr geht.
wer soll den deiner Meinung nach "schludern"?

Let's Encrypt sicher nicht. Die haben schon lange ein neues Root-Cert heraus gebracht.

Die website-Betreiber auch nicht. Die haben ihre Server-Certs schon mit dem neuen Root-Cert signieren lassen.

Apple auch nicht. Die haben in allen supporteten Betriebssystemen (macOS, iOS, iPadOS, tvOS) das neue Root-Cert schon drin.

Wer "schludert" ist der User. Der hat sein System nicht upgedated.

Nochmal: du forderst, dass Apple auch nicht mehr supportete System updated. Das ist ein Widerspruch den du nicht sehen willst. Du willst ein Teilupdate alter Betriebssysteme mit Root-Zertifikaten, damit du ein altes System weiter zum surfen nutzen kannst. Wie gesagt, das kannst du gerne fordern. Aber ich finde, wenn du ein nicht mehr supportetes System nutzen willst, muss nicht der Hersteller dafür Sorge tragen, dass du es nutzen kannst, sondern du selbst.
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.953
Spezialfirmen, die die möglichkeit an die Hand bekommen, Herstellerübergreifend für Legacy-geräte Zertifikate auszurollen.
Ich will ja nix sagen, aber gerade Rootzertifikate sind eine sehr heikle Sache. Gerade das würd ich nicht empfehlen auszulagern. Ich bin sogar der Meinung dass die Betriebssysteme viel zu viele von Haus aus mitbringen und lösche da immer einige raus. Denn am Ende heißt das, die Apps auf deinem Gerät vertrauen dann Webseiten und Diensten, die auf diesen Zertifikaten beruhen. Wenn du hier ein Zertifikat untergeschoben bekommst, können damit Fantasiezertifikate signiert werden, die auf jeden beliebigen Namen ausgestellt sein können.

Das Verfahren machen sich Antivirenprogramme zunutze, die normalerweise verschlüsselte Webseiten nicht anschauen/prüfen können. Die installieren dir ein Rootzertifikat, und schneiden dann den gesamten Traffic zu verschlüsselten Webseiten mit, also auch fürs Onlinebanking. Das ist der klassische Man-in-the-middle-Angriff. Deshalb sollte man auch nichts Vertrauliches/Privates auf Firmengeräten machen, weil sonst die Firma selbst auf dein Onlinebanking einen Zugriff bekommen kann, wenn sie so ein Produkt einsetzt um die Firmengeräte abzusichern.

Das sollte schon intern mit strikter Kontrolle verbunden sein und nicht ausgelagert werden. Und da ist dann die Frage, wieso soll auch ein großer Hersteller wie Apple das für 10 Jahre alte Produkte noch machen, wenn sich die wenigen User die es nach der langen Zeit gibt ja sowieso selbst helfen können? Und wie lange soll es eine Supportpflicht geben, das iPhone 4s ist 10 Jahre alt, selbst wenn das noch ein Update bekäme wegen einem Support-Gesetz, dann trifft es halt stattdessen ein noch älteres iPhone, und dann kommt wieder ein User und sagt er hat das Ding noch zum Streamen am Radio hängen oder sonstwas. Dann nehmen wir das auch noch auf, und das nächste auch noch? Dass es nichts kostet 10+ Jahre alte Geräteserien mit Updates zu versorgen scheint mir etwas blauäugig. Und ich sehe nicht ein warum mir dann bei meinem M1-Neukauf der Support für 10 Jahre alte Hardware eingepreist wird. Weil die User die noch auf ihrem iPhone 4s ein Update verlangen, zahlen das sicher nicht...

Das iPhone 4s hat hier jetzt ein Jahrzehnt funktioniert und wird nicht unbrauchbar durch ein ablaufendes Zertifikat. Wenn ein User wirklich in das Problem läuft jetzt ab Oktober, muss er eben Troubleshooting betreiben im Wissen, dass man bei 10 Jahre alten Geräten einen etwas höheren Wartungsaufwand hat.

Soll ich hier wirklich Apple böse sein, die gerade bei den Smartphones so lange Support liefern wie kaum ein anderer Hersteller? Wer hat wirklich noch ein 4s im Einsatz, das er nicht nur nebenbei zum Streamen am Radio hängen hat, sondern tatsächlich voll einsetzt, mit dem er surft usw. sodass er das abgelaufene Zertifikat überhaupt bemerken wird? Allein schon der alte Safari funktioniert mit vielen Seiten nicht mehr richtig und alles ist sehr lahm. Wer nutzt das noch?
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Ich hab btw versucht am iPhone 3GS (wirklich jetzt nur aus Neugierde) das Zertifikat zu installieren, da passierte genau gar nichts nach dem Runterladen.
 

tocotronaut

Aktives Mitglied
Registriert
14.01.2006
Beiträge
29.068
Alles aus der Sichtweise richtig.
Die Ollen Gurken um das 4s will auch keiner Mehr. aber das waren die Anfänge....

Aber die Chips haben stand heute einen Punkt passiert, an dem die Leistung auch auf längere Sicht ausreichend ist.
Die Leistung eines iPhone 13 wird auch noch in 10 jahren schnell genug sein für Alltagsaufgaben.

Aber wenn wir jetzt Automatismen einbauen, die zukünftige alte Geräte zumindest Zertifikatstechnisch weiter am Leben halten sollte das nicht sonderlich schädlich sein.

Was ich vorher nicht bedacht habe, ist dass die Zertifikatsaussteller im Grunde schon reagiert haben und die Root-Zertifikate aktuell schon mit 15 Jahren Laufzeit anbieten. (siehe #39) Und das Obwohl es eigentlich nicht explizit deren Baustelle ist.
Das Problem an sich ist also in zukunft schon etwas entschärft.
 

rembremerdinger

Aktives Mitglied
Registriert
16.11.2011
Beiträge
14.561
So jetzt hätte ich auch ein Frage bzgl. iPhone 5s ist es da genau so mit dem Rootzertifikat?
Ich bin jetzt nicht so firm in der Sache das ich das ohne Hilfe hinbekomme.
Ich habe da zwei von der Sorte die an die Töchter von meinem Neffen gehen sollen.
 

Bretti

Mitglied
Registriert
25.10.2013
Beiträge
532
Aber die Chips haben stand heute einen Punkt passiert, an dem die Leistung auch auf längere Sicht ausreichend ist.
Die Leistung eines iPhone 13 wird auch noch in 10 jahren schnell genug sein für Alltagsaufgaben.
Die Leistung in Verbindung mit dem heutigen iOS mit Sicherheit. Fraglich aber, ob das auch mit iOS 25 so sein wird. Mit weiter zunehmender Leistungsfähigkeit wird immer mehr draufgesattelt, so dass ältere Geräte mit der Zeit immer schwerfälliger zu bedienen sind.

Es ist immer das gleiche: Je mehr Leistung zur Verfügung steht, umso weniger muss der Entwickler auf Performance achten. Das wird auch in 10 Jahren wieder so sein.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
So jetzt hätte ich auch ein Frage bzgl. iPhone 5s ist es da genau so mit dem Rootzertifikat?
Ich bin jetzt nicht so firm in der Sache das ich das ohne Hilfe hinbekomme.
Ich habe da zwei von der Sorte die an die Töchter von meinem Neffen gehen sollen.
Wenn da ein aktuelles iOS drauf läuft, sind alle Zertifikate aktuell.
 
Oben