El Capitan Einige Root Zertifikate laufen Ende September 2021 ab, El Capitan und früher

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
die Zertifikatsaussteller im Grunde schon reagiert haben und die Root-Zertifikate aktuell schon mit 15 Jahren Laufzeit anbieten. (siehe #39) Und das Obwohl es eigentlich nicht explizit deren Baustelle ist.

doch es ist deren Baustelle und auch nur deren und von sonst niemandem.

Die zentrale Aufgabe einer CA ist es, mit ihrem Root-Zertifikat anderen Teilnehmern des Internets deren website-Zertifikate / S/MIME etc. zu signieren und allen Usern damit die Vertrauenswürdigkeit zu bestätigen. Das Root-Zert ist das der CA. Die Zertifikate der websites etc sind keine Root-Zertifikate und in hier diskutierten Fall auch überhaupt nicht angesprochen. Es geht immer nur um das zentral zugrundeliegende Zertifikat der CA selbst, eben dem Root-Zertifikat.
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Hatte das Zertifikat mit dem iPhone 4s unter iOs 6.1 versucht zu laden.

Das Gleiche bei einem iPhone 4 unter iOs 7.1.


kanns nicht laden weil er keine sichere https Verbindung mit Safari zum Server mit dem Zertifikat aufbauen kann.

Wie bekommt man dann alternativ das Zertifikat in das Teil?
 
Zuletzt bearbeitet:

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Habe nachgesehen, beim 5s ist bei iOS 12 Schluss. Was bedeutet das dann genau? Kein aktuelles Rootzertifikat?
lt. der Meldung trifft das doch nur auf El Capitan zu.

Wenn du websites normal ansehen kannst, ohne das gewarnt wird, dass die Seite nicht vertrauenswürdig sei, ist alles in Ordnung. Solltest du dann immer wieder Meldungen kriegen, dass die website nicht sicher / vertrauenswürdig sein, dann ist entweder in iOS 12 ein bereits abgelaufenes Zert drin (das siehts du, wenn du die Meldung der webseite genauer liest und dort die Infos ansiehst, oder die Webseite will dir wirklich was vortäuschen. Mehr passieren kann dir da nicht.

Ich habe den Eindruck, dass hier viele das Thema absolut überdramatisieren. Vielleicht auch einfach aus fehlendem Wissen. Also, mach dir keinen Kopf.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
Wie bekommt man dann alternativ das Zertifikat in das Teil?
nimm nen Mac, einen Windows PC, einen Linux-Rechner oder sonst was, lade das Cert herunter und schicke es per Mail, Dateiaustausch oder sonst wie an das iPhone.

Dann klicke drauf und folge den Anweisung zum Installieren. Ab welcher iOS-Version das geht, weiß ich nicht. War nicht immer schon so, aber soweit ic mich erinnere seit langen Jahren.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
5.320
kanns nicht laden weil er keine sichere https Verbindung mit Safari zum Server mit dem Zertifikat aufbauen kann.

iOS 6 und 7 sind ja auch uralt. Da kann es auch sein, dass die einfach noch ein veraltetes TLS verwenden. Da hilft dann auch kein erneuertes Root-Cert. Das versuche ich ja die ganze Zeit hier allen klar zu machen. Das mit dem Root-Cert ist bei alten Systemen überhaupt kein Garant, dass du weiterhin surfen kannst.
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.953
kanns nicht laden weil er keine sichere https Verbindung mit Safari zum Server mit dem Zertifikat aufbauen kann.

Wie bekommt man dann alternativ das Zertifikat in das Teil?
Manche Webseiten laden auch unabhängig vom Zertifikat nicht mehr, weil alte Browser nicht alle aktuellen Verschlüsselungsverfahren unterstützen. Das alte Zertifikat ist doch noch nicht abgelaufen? Sonst kannst du dir das Zertifikatsfile auch via E-Mail aufs Handy schicken - wenn der Mailabruf nicht auch schon den Dienst verweigert.

Mit weiter zunehmender Leistungsfähigkeit wird immer mehr draufgesattelt, so dass ältere Geräte mit der Zeit immer schwerfälliger zu bedienen sind.
Genau, in 10 Jahren schaut ja auch das Internet ganz anders aus, mit anderen Technologien, die alte Browser nicht mehr unterstützen. Und wenns ein paar Jahre länger dauert, ändert es auch nichts an der grundlegenden Sache, dass nur ganz wenige User ein Handy 10 Jahre und länger als Hauptgerät verwenden.

So jetzt hätte ich auch ein Frage bzgl. iPhone 5s ist es da genau so mit dem Rootzertifikat?
Da läuft doch ein neueres iOS drauf, das bereits das neue Zertifikat drauf hat, wenn ich mich nicht irre. Sollte also nur 4s und älter betreffen. Du kannst es dann ganz einfach testen, in dem du das macuser-Forum aufrufst. Da kommt auch genau das Zertifikat zum Einsatz um das es hier geht.

Die Leistung eines iPhone 13 wird auch noch in 10 jahren schnell genug sein für Alltagsaufgaben.
Sicherlich, aber dann ist fraglich, ob ein Zertifikat weniger gleich dazu führt, dass das ganze Gerät unbrauchbar wird. Eine Alltagsaufgabe wäre für mich zB eine Wettervorschau, und wenn da eine Seite nicht geht dann nehm ich eben eine andere... gibt auch genug Funktionen wie die Telefonie selbst, von den regulären Zertifikaten hängt sowas nicht ab. Und nochmal, wenn genau du davon betroffen bist, dann installierst du dir das Zertifikat eben. Warum das beim 3S nicht geht weiß ich nicht. Kannst versuchen es via E-Mail ans 3S zu schicken, eventuell gehts dann.
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
iOS 6 und 7 sind ja auch uralt. Da kann es auch sein, dass die einfach noch ein veraltetes TLS verwenden. Da hilft dann auch kein erneuertes Root-Cert. Das versuche ich ja die ganze Zeit hier allen klar zu machen. Das mit dem Root-Cert ist bei alten Systemen überhaupt kein Garant, dass du weiterhin surfen kannst.

iOs 7 ist das letzte OS für das iPhone 4, das ist der Zuspieler in dem Lautsprecher Dock. Da sind schon so viele Zertifikate abgelaufen dass es nächsten Monat noch laufen sollte.

Mein 4S, was ich auch nur als Netzwerkspieler nutze hat nen Jailbreak wegen einer App die es auch zum Renderer macht und einer anderen die Airplay Empfang herstellt. Deshalb iOs 6 und wegen der Schwupdizität. Das 4er ist mit iOs 7 schnarchlangsam geworden.
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Manche Webseiten laden auch unabhängig vom Zertifikat nicht mehr, weil alte Browser nicht alle aktuellen Verschlüsselungsverfahren unterstützen. Das alte Zertifikat ist doch noch nicht abgelaufen? Sonst kannst du dir das Zertifikatsfile auch via E-Mail aufs Handy schicken - wenn der Mailabruf nicht auch schon den Dienst verweigert.

Das hat auf dem 4s unter iOs 6.1 geklappt, macht wahrscheinlich kaum Sinn weil vieles eh abgelaufen ist. Dann war es für die Wissenschaft.
 

rembremerdinger

Aktives Mitglied
Registriert
16.11.2011
Beiträge
14.561
Manche Webseiten laden auch unabhängig vom Zertifikat nicht mehr, weil alte Browser nicht alle aktuellen Verschlüsselungsverfahren unterstützen. Das alte Zertifikat ist doch noch nicht abgelaufen? Sonst kannst du dir das Zertifikatsfile auch via E-Mail aufs Handy schicken - wenn der Mailabruf nicht auch schon den Dienst verweigert.


Genau, in 10 Jahren schaut ja auch das Internet ganz anders aus, mit anderen Technologien, die alte Browser nicht mehr unterstützen. Und wenns ein paar Jahre länger dauert, ändert es auch nichts an der grundlegenden Sache, dass nur ganz wenige User ein Handy 10 Jahre und länger als Hauptgerät verwenden.


Da läuft doch ein neueres iOS drauf, das bereits das neue Zertifikat drauf hat, wenn ich mich nicht irre. Sollte also nur 4s und älter betreffen. Du kannst es dann ganz einfach testen, in dem du das macuser-Forum aufrufst. Da kommt auch genau das Zertifikat zum Einsatz um das es hier geht.


Sicherlich, aber dann ist fraglich, ob ein Zertifikat weniger gleich dazu führt, dass das ganze Gerät unbrauchbar wird. Eine Alltagsaufgabe wäre für mich zB eine Wettervorschau, und wenn da eine Seite nicht geht dann nehm ich eben eine andere... gibt auch genug Funktionen wie die Telefonie selbst, von den regulären Zertifikaten hängt sowas nicht ab. Und nochmal, wenn genau du davon betroffen bist, dann installierst du dir das Zertifikat eben. Warum das beim 3S nicht geht weiß ich nicht. Kannst versuchen es via E-Mail ans 3S zu schicken, eventuell gehts dann.
lt. der Meldung trifft das doch nur auf El Capitan zu.

Wenn du websites normal ansehen kannst, ohne das gewarnt wird, dass die Seite nicht vertrauenswürdig sei, ist alles in Ordnung. Solltest du dann immer wieder Meldungen kriegen, dass die website nicht sicher / vertrauenswürdig sein, dann ist entweder in iOS 12 ein bereits abgelaufenes Zert drin (das siehts du, wenn du die Meldung der webseite genauer liest und dort die Infos ansiehst, oder die Webseite will dir wirklich was vortäuschen. Mehr passieren kann dir da nicht.

Ich habe den Eindruck, dass hier viele das Thema absolut überdramatisieren. Vielleicht auch einfach aus fehlendem Wissen. Also, mach dir keinen Kopf.
Danke euch beiden
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Ich konnte unter iOs 6.1 auf Macuser.de zugreifen. Bevor ich das root Zertifikat erneuert habe.

gibt es einen spezifischen Test?
 

OmarDLittle

Aktives Mitglied
Registriert
21.05.2017
Beiträge
2.953
Das alte läuft erst am 30. ab. Kann der alte Safari Zertifikate anzeigen, die gerade in Verwendung sind? Vermute fast, dass das nicht geht. Sonst kannst du Macuser aufrufen und dir anzeigen lassen, ob schon das neue Zertifikat aktiv ist.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.675
Bin froh, dass ich über den Thread gestolpert bin …

Hab heute Nacht meinen MacMini3,1 per dosdude von ElCapitan auf Mojave gebracht …

Das Gerät ist Teil meiner Storage-Infrastruktur und übernimmt bei mir einige Serverdienste.

Warum bei ElCapitan bleiben und sich über ungepatchte Sicherheitslücken sorgen …
Ich war bislang nur zu faul.
Bislang ist mir kaum was negativ aufgefallen nach dem Update+Patch.
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
Bin froh, dass ich über den Thread gestolpert bin …

Hab heute Nacht meinen MacMini3,1 per dosdude von ElCapitan auf Mojave gebracht …

Das Gerät ist Teil meiner Storage-Infrastruktur und übernimmt bei mir einige Serverdienste.

Warum bei ElCapitan bleiben und sich über ungepatchte Sicherheitslücken sorgen …
Ich war bislang nur zu faul.
Bislang ist mir kaum was negativ aufgefallen nach dem Update+Patch.

Schau mal in der Schlüsselbundverwaltung nach X3, bei mir unter Mojave fehlen allerdings noch einige Sicherheitsupdates. Hab ich noch nicht gemacht weil geptached und FileVault

Screenshot 2021-09-25 at 18.22.42.png
 

Atad

Mitglied
Registriert
04.10.2003
Beiträge
397
Es lohnt sich doch immer wieder, hier bei MacUser einfach reinzuschauen.

Dankeschön an Macschrauber für den Hinweis hier.

Da ich auch noch mit El Capitan unterwegs bin, habe ich die folgende Frage:

Habe ich das richtig verstanden, daß es sich bei dem oben verlinkten Zertifikat mit dem Dateinamen "isrgrootx1.pem" um das Zertifikat "DST Root CA X3" handelt?

Wenn ja, werde ich es in den nächsten Tagen installieren und weiterhin den alten iMac nutzen bis ... in ein bis zwei Jahren.
 

mausfang

Aktives Mitglied
Registriert
04.08.2016
Beiträge
2.675
Schau mal in der Schlüsselbundverwaltung nach X3, bei mir unter Mojave fehlen allerdings noch einige Sicherheitsupdates. Hab ich noch nicht gemacht weil geptached und FileVault

Anhang anzeigen 343191
Sieht bei mir gleich aus ... leider ...

Was bedeutet das konkret für mich? Verstehe ich das richtig, dass das auslaufende Zertifikat zur Folge hat, dass ab 01.10.2021 über letsencrypt erzeugte Zertifikate nicht mehr validiert werden können, weil das Root-Zertifikat das dafür bei "meinem macOS" hinterlegt ist, ab dann nicht mehr gültig ist.

Ist das jetzt als ob ein Sack Reis umfällt? Eher nicht oder? Wenn ich Dienste aufrufe, die entsprechende signierte Zertifikate nutzen, dann kann ich nicht mehr sicher wissen, ob deren Zertifikat gültig ist?
 

Macschrauber

Aktives Mitglied
Thread Starter
Registriert
08.02.2014
Beiträge
9.203
https://letsencrypt.org/docs/dst-root-ca-x3-expiration-september-2021/

Wenn ich es richtig verstanden habe ersetzt das X1 Zertifikat das X3, so war dann die Suche nach X1 falsch, suche mal nach X3

Ist doch nicht ganz so einfach wenn man damit noch keine Erfahrung hat...

edit: Ist so, das X3 läuft aus und wird von dem neuen X1 ersetzt, der Post #76 von mir war falsch.
 
Zuletzt bearbeitet:

Atad

Mitglied
Registriert
04.10.2003
Beiträge
397
Also, abwarten und Tee trinken. Mal sehen was passiert.
 
Oben