Zertifikate sperren - so geht's

Verkehrte Welt – um ein Zertifikat zu sperren, muss man es erst installieren. Mit der folgenden Anleitung für Windows, Firefox, OS X und Linux geht das ohne Risiko und in wenigen Schritten.

Leider kann man seinem System nicht einfach sagen: "Vertrau den Zertifikaten von HonestAchmed nicht mehr." Man kann lediglich konkreten Zertifikaten das Vertrauen entziehen. Und dazu muss man sie erst mal ins System importieren – sprich installieren. Die folgende Anleitung beschreibt die notwendigen Schritte am Beispiel eines Intermediate-CA-Zertifikats von Blue Coat. Das kann man über diesen Link herunterladen und speichern.

Windows

Internet Explorer, Edge, Chrome und die meisten anderen Windows-Programme verwenden den Zertifikatsspeicher des Systems. Um ein Zertifikat dort zu sperren, öffnen Sie die gespeicherte Zertifikatsdatei und wählen dann "Zertifikat installieren". Das startet einen Assistenten. In dem können Sie das neue Zertifikat entweder für "Aktueller Benutzer" oder mit Adminstratorrechten systemweit für "Lokaler Computer" importieren. Der Knackpunkt ist dann der nächste Schritt. Wählen Sie hier unter "Alle Zertifikate im folgendem Speicher speichern" und via "Durchsuchen" den Eintrag "Nicht vertrauenswürdige Zertifikate". Wenn Sie das gespeicherte Zertifikat dann nochmals öffnen, sollte Windows es bereits als gesperrt anzeigen.

Windows: Zertifikat sperren (4 Bilder)

Das Zertifikat

Das von Verisign/Symantec ausgestellte Zertifikat berechtigt Blue Coat zum Ausstellen weiterer Zertifikate. Um das zu verhindern, muss man es installieren.

Firefox

Firefox verwendet immer seinen eigenen Zertifikatsspeicher; dort muss man deshalb nochmal Hand anlegen. In den Einstellungen unter "Erweitert", findet sich die Option "Zertifikate anzeigen". Im Reiter "Zertifizierungsstellen" wählen Sie "Importieren" und öffnen dann das gespeicherte Zertifikat im Download-Ordner. Entscheidend ist der nächste Schritt: Lassen Sie alle drei Felder "Dieser CA vertrauen, um ..." leer. Wenn Sie das bestätigt haben, suchen Sie das importierte Zertifikat nochmal im Zertifikatsspeicher. Die Blue-Coat-CA finden Sie unter ihrem Aussteller Verisign; über "Vertrauen bearbeiten" können Sie den gewünschten Vertrauens-Status nochmal überprüfen.

Firefox: Zertifikat sperren (4 Bilder)

Firefox-Einstellungen

Zunächst muss man das zu sperrende Zertifikat als Zertifizierungsstelle "Importieren..."

Bei Änderungen am Vertrauen einer fest eingebauten CA wechselt übrigens deren Speicherort von "Builtin Object Token" zu "Software Security Device". Das spiegelt wieder, dass Firefox hinter den Kulissen eine Kopie des Zertifikats im Anwenderprofil anlegt und mit dessen gewünschten Einstellungen versieht. Die haben dann höhere Priorität als die voreingestellten. Für den Fall, dass bei der Verwaltung der Zertifikate etwas schief läuft und es zu Fehlern kommt, können sie den anwenderspezifischen Zertifikatsspeicher löschen oder besser umbenennen. Das ist die Datei cert8.db, die Sie unter

%USERPROFILE%\Anwendungsdaten\Mozilla\Firefox\Profiles\[Zufallszeichenfolge].default\

finden. Firefox legt die Datei beim nächsten Start automatisch mit einem Standard-Inhalt neu an.

Linux und Mac OS X

Mac OS X hat seinen eigenen Zertifikatsspeicher, den Schlüsselbund, den nahezu alle Programm nutzen. Um dort ein Zertifikat zu sperren, öffnen Sie ebenfalls die heruntergeladene oder gespeicherte Zertifikatsdatei. Im folgenden Assistenten für den Import in den Schlüsselbund wählen Sie einfach für alle Zwecke "Nie vertrauen". Anschließend sollte das Zertifikat in der Übersicht deutlich mit einem Kreuz auf rotem Grund als nicht vertrauenswürdig markiert sein.

Unter Linux verhält sich Firefox wie unter Windows; der Zertifikatsspeicher des Anwenders liegt als cert8.db unter ~/.mozilla/firefox/[Zufallszeichenfolge].default/. In Chrome kann man analog dazu via "Einstellungen / Zertifikate / Zertifizierungsstellen" das Zertifikat ohne aktive Vertrauens-Option importieren. Es taucht dann anschließend jedoch nicht unter Versign sondern mit einem eigenen Eintrag zu "Blue Coat Systems" in der Liste auf.

Der Haken

Damit sollte der Browser und alle anderen Anwendungen, die den jeweiligen Zertifikatsspeicher nutzen, eine Fehlermeldung ausspucken, wenn ein Zertifikat präsentiert wird, das mit diesem Blue-Coat-CA-Zertifikat unterschrieben wurde. Allerdings kann man so immer nur einzelne, konkrete Zertifikate ächten. Eine Root-CA und jede von einer solchen autorisierte Intermediate-CA – und das sind weit über tausend – könnte Blue Coat jedoch ein neues ausstellen, das dann wieder klaglos funktioniert. Das ist ein grundsätzliches Problem des Zertifikats-Systems, das sich mit Bordmitteln nicht lösen lässt. (ju)