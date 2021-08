Apple hat zu einem schwerwiegenden Ausfall seiner Zertifikateinfrastruktur im November 2020 noch immer keine offizielle Lösung präsentiert – trotz einer entsprechenden Ankündigung. Damals hatte ein Serverfehler beim sogenannten OCSP-Verfahren (Online Certificate Status Protocol) dazu geführt, dass Macs, die über eine Internet-Verbindung verfügten, zahllose Apps schlicht nicht mehr starten konnten. Ein Abgleich nach OCSP war nicht möglich, weil der Daemon trustd, der eigentlich sicherstellen soll, dass App-Zertifikate gültig sind und nicht wegen Malware-Gefahren zurückgezogen wurden, schlicht keine Antwort bekam. Das Resultat waren Millionen lahmgelegte Macs.

Änderungen angekündigt – im November 2020

Der Mac-Hersteller reagierte daraufhin mit einer umfangreichen Ankündigung von Änderungen, da sich im Rahmen des Problems auch ergeben hatte, dass es ein grobes Datenschutzproblem gab: Es soll ein IP-Logging beim Start von Apps gegeben haben. Im Rahmen der Überprüfung der Notarisierungs- und Zertifikateüberprüfungsroutinen war dem Konzern aufgefallen, dass man die zugehörige IP-Adresse der Nutzer gespeichert hatte. Dies habe man nun aber "beendet", hieß es im November 2020. Künftig sollen IP-Adressen im Zusammenhang mit Developer-ID-Zertifikateüberprüfungen nicht mehr geloggt werden, zudem werde man "sicherstellen, dass alle gesammelten IP-Adressen aus den Logs entfernt werden".

IPs geloggt – entfernt?

Aktuell ist unklar, ob dies geschehen ist – das entsprechende Supportdokument, in dem das Logging eingeräumt wurde, ist seit April 2021 nicht mehr angefasst worden – und die entsprechende Passage lautet nach wie vor, man werde sicherstellen, "dass die IP-Adressen von den Logs entfernt" werden. Eine Vollzugsmeldung fehlt. Weiterhin steht hier auch noch die Ankündigung dreier neuer Schritte: So soll es ein neues, verschlüsseltes Protokoll für das Überprüfen auf zurückgezogene Zertifikate geben – offenbar fehlte es hier an der Verschlüsselung. Weiterhin wolle man einen "starken Schutz gegen Serverausfälle" sowie eine "neue Einstellung zum Opt-Out aus diesen Sicherheitsschutzmaßnahmen" liefern.

Opt-Out für Schutzmaßnahmen fehlt

Ob Punkt 1 oder 2 mittlerweile umgesetzt sind, weiß niemand. Von Punkt 3, der Opt-Out-Funktion als Teil des Betriebssystems, ist auch in der jüngsten macOS-Version 11.5.2 noch nichts zu sehen. Der Blogger, macOS-Experte und Mac & i-Autor Howard Oakley schreibt, er habe bislang noch nichts dazu vernommen und forderte Apple auf, endlich ein Update zum Fortschritt bei den Maßnahmen zu geben. (bsc)