Nicht vertrauenswürdige Zertifikate und CAs entfernen

Lösung: Erneut musste eine Zertifizierungsstelle (Certification Authority - CA) zugeben, dass Angreifer SSL-Zertifikate gefälscht haben (siehe auch Hacker stehlen SSL-Zertifikate für CIA, MI6, Microsoft, Google und Co.). Darunter sind populäre Seiten wie Mozilla, Microsoft oder Tor-Project. Die gefälschten Zertifikate lassen sich unter anderem für Man-in-the-Middle-Attacken verwenden.

Nutzer von Windows Vista und Windows 7 sind bereits gegen diese Angriffe geschützt, wer noch auf Windows XP oder Windows Server 2003 setzt, muss die Diginotar CA unter Umständen per Hand entfernen, um sicher zu gehen. Die gute Nachricht: Auf deutschen Systemen ist die CA nicht zwingend eingerichtet, dennoch schadet es nicht, den Weg zu kennen, um nicht vertrauenswürdige Zertifikate zu entfernen.

Update: Inzwischen hat Microsoft damit begonnen einen Patch auszuliefern, auch für Windows XP und Server 2003. Damit soll die statische Liste der Zertifikate automatisch aktualisiert werden (siehe Microsoft liefert Patch gegen SSL-Sicherheits-Bedrohung). Ein Blick in die Liste schadet wohl dennoch nicht.

Dazu startet man zunächst die Microsoft Management Konsole (Start - Ausführen - mmc.exe). Per STRG + M fügt man anschließend ein neues Snap-In hinzu, die passende Erweiterung ist Zertifikate. Sie werden unter dem Computerkonto installiert und verwalten den lokalen PC (oder einen entsprechenden Rechner im Netzwerk).

Alle im System hinterlegten Zertifizierungsstellen findet man in der Baumansicht unter dem Ordner "Vertrauenswürdige Stammzertifizierungsstellen - Zertifikate". Ist Diginotar installiert, sollten zwei Einträge sichtbar sein, welche die Fingerabdrücke

c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c

und

43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3

besitzen. Sie können die entsprechenden Einträge über das Kontextmenü löschen.

Produkte: Der Tipp funktioniert mit allen Versionen von Windows seit XP. (mje)