Vertrauenswürdiges Root-Zertifikat entfernen

[grob_fahrlässig]

Hallo liebe MacUser.de-Community,

ich habe mit einem Zertifikat-Problem zu kämpfen.

Gestern ist mir unter meinem Iphone 7 mit ios 10.3 beta 4 unter Einstellungen -> Allgemein -> Info das erste Mal bewusst der Eintrag 'Zertifikatsvertrauenseinstellungen' ganz am Ende der Seite aufgefallen. Darunter findet sich zu meiner großen Verwunderung auch ein Eintrag zu einem vertrauenwürdigen Root-Zertifikat, dem ich sogar, nach einem Warnhinweis, vollen Zugriff gewähren kann (was auch immer das bedeutet). Dieser Eintrag scheint vor Monaten / Jahren durch die Installation eines Zertifikats in Verbindung mit der App-Installation von 'MobileIron' zum Zugriff auf die Microsoft Exchange-Umgebung meines ehemaligen Arbeitgebers auf meinem Privat-Handy hinzugefügt worden zu sein.

Nun möchte ich dem Root-Zertifikat nicht nur durch Deaktivieren des Schalters das volle Vertrauen entziehen, sondern komplett entfernen. Das scheint jedoch nicht so einfach möglich. Meine beiden bislang erfolglosen Lösungsansätze nach umfangreicher Recherche:
- Profile unter Einstellungen -> Allgemein -> Profil verwalten bzw. löschen. Hier findet sich jedoch nur ein Eintrag, nämlich der vom ios Beta Software Profile-Zertifikat. Auch mit dem Apple Configurator 2 ließ sich kein anderes Zertifikat auswählen und löschen.
- Das Zurücksetzen der Netzwerkeinstellungen hat auch nichts gebracht.

Weiß jemand von einer weiteren Möglichkeit ohne das ganze Systeme samt Inhalten zurückzusetzen und komplett neu ohne Wiederherstellung (verbunden mit dem Verlust der ganzen Chat-Verläufe etc.) aufzusetzen?
Ich habe auch schon überlegt, ob ich nicht in der IT meines ehemaligen Arbeitgebers anrufe, um mich dort zu erkundigen, bezweifle aber, dass die mir als ehemaliger Mitarbeiter und 200 Kilometer entfernt weiterhelfen können bzw. wollen.

Vielen Dank für sachdienliche Hinweise!!

 

[dg2rbf]

hi..
solange du keine Probleme damit hast, lass es so wie es ist, es stört nicht..

Franz

 

[grob_fahrlässig]

Hallo Franz,

Danke für die schnelle Rückmeldung. Was meinst Du mit "es stört nicht"? Ich bezweifle zwar auch, dass es ein unnötiges Sicherheitsrisiko mit ungewolltem / unbemerktem Datenabfluss für mich darstellt. Allerdings weiß ich auch nicht, was das vertrauenswürdige Zertifikat (auch ohne vollen Zugriff) anstellt und würde es daher gern restlos entfernen.

Weißt Du oder weiß jemand anderes näheres zu den Funktionen eines solchen vertrauenswürdige Zertifikats?

 

[Lor-Olli]

Zertifikate sind überprüfte Verbindungen, also solche die verifiziert nur das tun was sie sollen. Sie selbst machen gar nichts, sie dienen OSX aber um zu prüfen ob eine Verbindung gestattet wird. Kann man auch nachlesen > https://support.apple.com/de-de/HT202858

In den root-Rechten herumzu"pfuschen" ist nur dann empfehlenswert, wenn man genau (!) weiß was man da tut, root ist die unmittelbare Systemebene, da kann man sich das System "herrlich zerschießen" (unwiderruflich zum Teil). Das Zertifikat ist wie viele andere Bestandteile das OS nur aktiv, wenn sie benötigt werden.

 

[Nishio]

Gibt es inzwischen Tools, um alte Root-Zertifikate von z.B. ehemaligen Arbeitnehmern zu löschen? Ich schleppe dieses Ding jetzt unter iOS 26 immer noch auf dem iPad herum - seit über 12 Jahren, und es nervt.

 

[pc-bastler]

Das ging schon immer:

Einstellungen - Allgemein - VPN und Geräteverwaltung - Den entspr. Eintrag in den Konfigurationsprofilen auswählen - Profil entfernen

 

[Nishio]

Danke, aber das ging noch nie, denn ich habe dort weder Profile noch VPNs hinterlegt. Irgendwo ist also noch diese root-CA als Zertifikatsleiche vergraben.
Gibt es irgendwelche Tools, möglichst unter Windows, mit dem man den Schmutz ggf. von außen entfernen kann? Neuaufsetzen ist keine Option.

 

[lisanet]

Wenn du dort nichts findest, wie kommst du dann drauf, dass da eine Root-CA sei?

 

[pc-bastler]

Also, mal ganz ehrlich, bevor ich mich von so einer Leiche über Jahre nerven lasse, da würde ich das Gerät einfach mal neu aufsetzen.

Edit: hätte ich sowieso direkt nach dem AG-Wechsel gemacht, nicht daß da mit Mobile Iron noch mehr an dem Gerät gemacht wurde und das Gerät dann auf die Firma "gelockt" ist.

 

[Nishio]

Weil in Allgemein - Info - Zertifikatsvertrauenseinstellungen - Volles Vertrauen für Root-Zertifikate einstellen eine „Internal XXX Root CA“ angezeigt wird (XXX als Platzhalter für meinen alten AG) angezeigt wird, die ich nur ein- oder ausschalten kann, aber nicht löschen.
Damals, das muss so 2011 gewesen sein, wurde auch MobileIron verwendet. Offensichtlich hinterlässt dieses Tool solche Leichen.

 

[lisanet]

Ich hatte auch mal MobilIron drauf, aber nach dem Löschen von MobilIron ist bei mit nichts mehr von wegen Root-CAs vorhanden. Und du bist sicher, dass MobilIron nicht mehr auf dem Teil ist?

Alle CAs, die ich unter Zertifikatseinstellungen sehe, sind diejenigen, die ich selbst erstellt habe und die ich über "VPN und Geräteverwaltung" auch löschen kann

 

[Nishio]

Also, mal ganz ehrlich, bevor ich mich von so einer Leiche über Jahre nerven lasse, da würde ich das Gerät einfach mal neu aufsetzen.

Edit: hätte ich sowieso direkt nach dem AG-Wechsel gemacht, nicht daß da mit Mobile Iron noch mehr an dem Gerät gemacht wurde und das Gerät dann auf die Firma "gelockt" ist.

Es wurde sogar von iPad zu jedem neuen iPad übertragen. Wie gesagt, es ist nur dieses eine Teil, sonst nichts.
Neu aufsetzen würde sehr viel Zeit benötigen, das habe ich bislang vermieden.
Ich hatte sogar MobileIron installiert und versucht, Spuren zu finden und zu löschen, aber nix.
Ich schätze, das Zertifikat hängt mehr oder weniger unvollständig und unreferenziert Im System und wäre vermutlich mit entsprechende Unix-Tools entfernbar. Aber Jailbreaken möchte ich auch nicht.
Gut, dann bleibt es halt weiter drin - die Vertrauenswürdigkeit ist ja entzogen. Den Arbeitgeber und dessen Umgebung gibt es in der Form auch nicht mehr.
Danke soweit.