25 Jahre heise online Jubiläums-Logo
Anmelden
Menü Menue
IT News
  • Newsticker
  • heise Developer
  • heise Netze
  • heise Open Source
  • heise Security
Online-Magazine
  • heise+
  • Telepolis
  • heise Autos
  • TechStage
  • tipps+tricks
Magazine
  • c't
  • iX
  • Technology Review
  • c't Fotografie
  • Mac & i
  • Make
  • im Browser lesen und Artikel-Archiv
Services
  • Stellenmarkt heise Jobs
  • Weiterbildung
  • heise Download
  • Preisvergleich
  • Whitepaper/Webcasts
  • DSL-Vergleich
  • Netzwerk-Tools
  • Spielen bei Heise
  • Loseblattwerke
  • iMonitor
  • IT-Markt
Heise Medien
  • heise shop
  • Abo
  • Veranstaltungen
  • Arbeiten bei Heise
  • Mediadaten
  • Presse
Anzeige SecurityHub Online-Marketing
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
heise Security Logo
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • heise Security Pro
    • FAQs zu heise Security Pro
  • Events
  • Kontakt
  1. Security
  2. Hintergrund
  3. Zertifikate sperren - so geht's

Zertifikate sperren - so geht's

Hintergrund 30.05.2016 15:51 Uhr Jürgen Schmidt

Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

Leider kann man seinem System nicht einfach sagen: "Vertrau den Zertifikaten von HonestAchmed nicht mehr." Man kann lediglich konkreten Zertifikaten das Vertrauen entziehen. Und dazu muss man sie erst mal ins System importieren – sprich installieren. Die folgende Anleitung beschreibt die notwendigen Schritte am Beispiel eines Intermediate-CA-Zertifikats von Blue Coat. Das kann man über diesen Link herunterladen und speichern.

Windows

Internet Explorer, Edge, Chrome und die meisten anderen Windows-Programme verwenden den Zertifikatsspeicher des Systems. Um ein Zertifikat dort zu sperren, öffnen Sie die gespeicherte Zertifikatsdatei und wählen dann "Zertifikat installieren". Das startet einen Assistenten. In dem können Sie das neue Zertifikat entweder für "Aktueller Benutzer" oder mit Adminstratorrechten systemweit für "Lokaler Computer" importieren. Der Knackpunkt ist dann der nächste Schritt. Wählen Sie hier unter "Alle Zertifikate im folgendem Speicher speichern" und via "Durchsuchen" den Eintrag "Nicht vertrauenswürdige Zertifikate". Wenn Sie das gespeicherte Zertifikat dann nochmals öffnen, sollte Windows es bereits als gesperrt anzeigen.

Bild 1 von 4

Windows: Zertifikat sperren (4 Bilder)

Das Zertifikat

Das von Verisign/Symantec ausgestellte Zertifikat berechtigt Blue Coat zum Ausstellen weiterer Zertifikate. Um das zu verhindern, muss man es installieren.

Firefox

Firefox verwendet immer seinen eigenen Zertifikatsspeicher; dort muss man deshalb nochmal Hand anlegen. In den Einstellungen unter "Erweitert", findet sich die Option "Zertifikate anzeigen". Im Reiter "Zertifizierungsstellen" wählen Sie "Importieren" und öffnen dann das gespeicherte Zertifikat im Download-Ordner. Entscheidend ist der nächste Schritt: Lassen Sie alle drei Felder "Dieser CA vertrauen, um ..." leer. Wenn Sie das bestätigt haben, suchen Sie das importierte Zertifikat nochmal im Zertifikatsspeicher. Die Blue-Coat-CA finden Sie unter ihrem Aussteller Verisign; über "Vertrauen bearbeiten" können Sie den gewünschten Vertrauens-Status nochmal überprüfen.

Bild 1 von 4

Firefox: Zertifikat sperren (4 Bilder)

Firefox-Einstellungen

Zunächst muss man das zu sperrende Zertifikat als Zertifizierungsstelle "Importieren..."

Bei Änderungen am Vertrauen einer fest eingebauten CA wechselt übrigens deren Speicherort von "Builtin Object Token" zu "Software Security Device". Das spiegelt wieder, dass Firefox hinter den Kulissen eine Kopie des Zertifikats im Anwenderprofil anlegt und mit dessen gewünschten Einstellungen versieht. Die haben dann höhere Priorität als die voreingestellten. Für den Fall, dass bei der Verwaltung der Zertifikate etwas schief läuft und es zu Fehlern kommt, können sie den anwenderspezifischen Zertifikatsspeicher löschen oder besser umbenennen. Das ist die Datei cert8.db, die Sie unter

%USERPROFILE%\Anwendungsdaten\Mozilla\Firefox\Profiles\[Zufallszeichenfolge].default\

finden. Firefox legt die Datei beim nächsten Start automatisch mit einem Standard-Inhalt neu an.

Linux und Mac OS X

Mac OS X hat seinen eigenen Zertifikatsspeicher, den Schlüsselbund, den nahezu alle Programm nutzen. Um dort ein Zertifikat zu sperren, öffnen Sie ebenfalls die heruntergeladene oder gespeicherte Zertifikatsdatei. Im folgenden Assistenten für den Import in den Schlüsselbund wählen Sie einfach für alle Zwecke "Nie vertrauen". Anschließend sollte das Zertifikat in der Übersicht deutlich mit einem Kreuz auf rotem Grund als nicht vertrauenswürdig markiert sein.

Unter Linux verhält sich Firefox wie unter Windows; der Zertifikatsspeicher des Anwenders liegt als cert8.db unter ~/.mozilla/firefox/[Zufallszeichenfolge].default/. In Chrome kann man analog dazu via "Einstellungen / Zertifikate / Zertifizierungsstellen" das Zertifikat ohne aktive Vertrauens-Option importieren. Es taucht dann anschließend jedoch nicht unter Versign sondern mit einem eigenen Eintrag zu "Blue Coat Systems" in der Liste auf.

Der Haken

Damit sollte der Browser und alle anderen Anwendungen, die den jeweiligen Zertifikatsspeicher nutzen, eine Fehlermeldung ausspucken, wenn ein Zertifikat präsentiert wird, das mit diesem Blue-Coat-CA-Zertifikat unterschrieben wurde. Allerdings kann man so immer nur einzelne, konkrete Zertifikate ächten. Eine Root-CA und jede von einer solchen autorisierte Intermediate-CA – und das sind weit über tausend – könnte Blue Coat jedoch ein neues ausstellen, das dann wieder klaglos funktioniert. Das ist ein grundsätzliches Problem des Zertifikats-Systems, das sich mit Bordmitteln nicht lösen lässt. (ju)

Kommentare lesen (4 Beiträge)

Mehr zum Thema

  • Firefox
  • Microsoft
  • VeriSign
  • Windows

Forum bei heise online: Verschlüsselung

Teile diesen Beitrag

https://heise.de/-3222308 Drucken
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
Alerts! alle Alert-Meldungen

Qnap NAS

Chrome

Tor Browser

Tails

Eigenwerbung
heise Security Tour

Praxiswissen für die Security-Achterbahn 2021

Die heise Security Tour (10. Juni oder 9. September) liefert praxisrelevantes Wissen, wie Sie die aktuelle IT-Security-Situation auch weiterhin meistern. Profitieren Sie bis zum 29. April von unserem Frühbucher-Rabatt und sparen Sie 40 €!

Anzeige
Anzeige
  • Wie und womit arbeiten Data-Science-Experten?
  • Transformation im Supermarkt – aus der Praxis!
  • Success Story (+Demo): Patch-Management in Praxis
  • Sichere Videokonferenzen im Unternehmen
  • Neue Security-Idee: Hardware-basierte IT-Sicherheit
  • Themenspecial: Business IT-Lösungen
  • Ganzheitliche Security-Tools oder Insellösungen?
  • Zukunftssichere IT für KMU
  • Themenspecial: Moderne IT-Infrastruktur
  • Tipps für eine erfolgreiche Google-Werbung
Artikel

Windows: REvil-Trojaner trickst abgesicherten Modus aus

Eigentlich soll der abgesicherte Modus dabei helfen, ein angeschlagenes System zu retten. Der Erpressungstrojaner macht ihm damit den Garaus.

56 Kommentare

iOS: Certificate Pinning per Konfiguration

App-Entwickler können die für TLS-Verbindungen erlaubten Schlüssel seit iOS 14 per Konfiguration einschränken.

8 Kommentare

Auf Tätersuche: Herausforderungen bei der Analyse von Cyber-Angriffen

Das Bedürfnis bei Cyber-Angriffen Täter zu benennen wächst. Doch die verantwortlichen Gruppen spezialisieren sich immer mehr und kooperieren bei Bedarf.

18 Kommentare mit Video

Neueste Forenbeiträge

  1. Die fundamentale Frage der Sicherheit im Internet: Wem traue ich?
    Das ist bei DNS nicht anders als bei S/MIME vs. PGP oder PKIs. Es gibt den Ansatz, Sicherheit durch zentralisierte Services (bspw: CAs oder…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    arkturino hat keinen Avatar
    von arkturino; vor 15 Stunden
  2. Wie wär's mit Ghidra?
    https://blog.threatrack.de/2019/10/02/ghidra-patch-diff/ MfG

    Forum:  Binärdateien vergleichen: BinDiff ab sofort (fast) gratis nutzen

    Avatar von PietNomdrian
    von PietNomdrian; Mittwoch, 19:25
  3. Re: S-Runen im Text - mit Firefox 88 gerendert
    Jetzt erklären sie in ihrem Artikel doch bitte noch wie die ganzen Neonazis in ihrem gestern ausgelieferten neuen Firefox 88.0 Browser (Heil…

    Forum:  Was man über DNS als Sicherheits-Werkzeug wissen muss

    Polaris hat keinen Avatar
    von Polaris; Dienstag, 10:53
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Krypto-Kampagne
  • Datenschutz
  • Impressum
  • Kontakt
  • Mediadaten
  • Content Management by InterRed
  • Copyright © 2021 Heise Medien