Ob die geblockten Zertifikate in der Liste sind, könnt ihr ganz einfach überprüfen, indem ihr im Suchfeld mmc eintippt (oder in der der "ausführen" Kommandozeile mmc.exe) und dort unter "Datei" das Snap-in für Zertifikate hinzufügt. Der Rest ist selbst erklärend.
Es wundert mich, dass das noch nicht per autoupdate kam, das Datei Datum ist ja nicht von heute, hätte also heute Morgen schon bei mir eingeschlagen sein können.
Was mich weiter wundert ist, dass keiner der 3 großen Browser eine vollständige Zertifikatsüberprüfung macht, sondern dass sie sich alle auf Blocklisten verlassen, denn wenn die bei jedem Zertifikat gemacht wird, fallen solche nicht wirklich autorisierten Intermediate Zertifikate direkt auf.
Hinzu kommt, dass eins der Zertifikate keine "revocation info" eingebaut hatte (wg. eines Softwarfehler bei der Erstellung), also nicht wirklich vollständig war. Dieses Zertifikat hätte unabhängig von allem anderen
immer abgelehnt werden müssen. Eine normale Zurückziehung des Zertifikats bei Bruch des selben war dadurch unmöglich und die Laufzeit der damit "zertifizierten" SSL Zertifikate hätte im Prinzip auf unendlich gesetzt werden können.
Wichtiger Hinweis:
Führt bei euren Browsern ein Zwangsupdate durch, denn das Zertifikatsupdate von Microsoft schützt lediglich die System eigenen Internetverbindungen zu gesicherten Seiten, also z.B. den IE, Outlook, die Konsole etc.
Die anderen Browser-Hersteller werden in den nächsten Tagen die Updates ihrer Blocklisten nachschieben:
- Firefox: Das Update wird am 08.01. erwartet.
- Chrome: Sobald sie es fertig haben, wahrscheinlich schon heute.
- Opera: Nicht nötig, da Operas SSL Implementation auf dem erfolgreichen bestehen des revocation Tests und einer Überprüfung des normgerechten Aufbaus des Zertifikats besteht und die Zertifikate dadurch von Anfang an nicht akzeptiert hat.
Leider habe ich keine Infos zu Safari und dem Rest der Meute auftreiben können.
