LigH 12 Geschrieben 27. Dezember 2012 Melden Teilen Geschrieben 27. Dezember 2012 Ich weiß, es gibt schon mehrere Beiträge zu ähnlichen Themen (auch mit mehr oder weniger freundlichen Hinweisen, alte Beiträge bitte nicht unnötig fortzusetzen), aber ich hab's immer noch nicht so recht verstanden: Der Java-Updater zeigt ab und zu mal einfach zwischendurch, auch ohne laufenden Webbrowser, auf gut gepflegten PCs (heißt, ich sollte eigentlich keine zusätzlichen Patches über Stammzertifikate installieren müssen, die nicht schon im Microsoft Update aufgetaucht wären) mit Windows XP SP3 oder Windows 7 SP1, die anscheinend relativ bekannte Fehlermeldung: Es sind keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar. Möchten Sie den Vorgang fortsetzen? In diesem Dialog erfährt man aber keinerlei Details darüber: Ist das ein ernstes Problem? Welche Konsequenzen hat es, wenn ich entweder "Ja" oder "Nein" klicke? Unter welchen Voraussetzungen ist welche Reaktion angemessen? Wie kann ich in Zukunft das Erscheinen dieses Dialogs vermeiden? Nützt es mir etwas, die Details dieses Zertifikats anzeigen zu lassen? Nun ja, zum letzten Punkt: Darüber habe ich zumindest erfahren, dass das Zertifikat was mit Java zu tun hat. Ich bin zwar schon auf die Idee gekommen, dieses Zertifikat zu installieren. Aber das nützt nichts. Der Dialog erscheint ab und zu immer noch. Daher hoffe ich, dass es irgendwo auch mal eine wirklich ausführliche und umfassende Erklärung gibt. Bisher hab ich nur Ansätze gefunden, aber keine wirklich verständliche Erklärung zur Ursache und Bedeutung. In den Internet-Optionen die Prüfung auf gesperrte Zertifikate auszuschalten, halte ich so gefühlsmäßig nicht für allgemein empfehlenswert. Wird ja wohl einen Grund haben, wenn Zertifikate gesperrt werden. Man hat ja in letzter Zeit ab und zu über gehackte Stammzertifikatsaussteller gelesen. Da müssen dadurch wohl ganze Bäume von Vertrauensketten ihre Vertrauenswürdigkeit verloren haben... Zitieren Link zu diesem Kommentar
LigH 12 Geschrieben 13. August 2014 Autor Melden Teilen Geschrieben 13. August 2014 Mögliche "saubere" Lösung: Certificate Revocation List installieren (die CRL fehlt dem übermittelten Zertifikat, deshalb ist die Installation des selbigen an sich eher unsicher). Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. August 2014 Melden Teilen Geschrieben 13. August 2014 Java verendet intern seinen eigenen Keystore. Java sollte unbedingt immer mit dem neusten supporteten Patch-Stand installiert sein. Wenn Java plötzlich bei irgendwelchen Webseiten startet ohne dass man irgendein Applet sieht, kann es durch sein, dass die betreffende Website gehackt wurde und ein Exploit-Kit lädt. CRL's werden automatisch abgerufen. Sonst würde das keinen Sinn man. Der obige Server https://javadl-esd-secure.oracle.com benutzt jetzt eine andere CA (Geotrust) Zitieren Link zu diesem Kommentar
LigH 12 Geschrieben 13. August 2014 Autor Melden Teilen Geschrieben 13. August 2014 (bearbeitet) Ja, dann erklär mir doch bitte mal, warum auch während dieser JRE-Update-Meldungen oder beim Lesen von Emails in Outlook immer noch dieser Dialog aufgeht, und wie sich das korrekt vermeiden ließe (und sei es nur, dass mal jemand eindeutig klarstellt, dass Oracle zu b***d dazu ist, vollständige Zertifikate herzustellen). Es hat doch *** noch mal zu reichen, wenn ich den Updater laufen lasse! Meiner Meinung nach zumindest... bearbeitet 13. August 2014 von LigH Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. August 2014 Melden Teilen Geschrieben 13. August 2014 (bearbeitet) Das kann Ich Dir auch nicht sagen. Eventuell wurde Dein System infiziert oder DU hast irgendwelche "Systemoptimierungsprogramme" laufen lassen. Mit SSL treten übrigens auch seltsame Fehler auf, wenn Datum und Uhrzeit am PC nicht korrekt sind. bearbeitet 13. August 2014 von zahni Zitieren Link zu diesem Kommentar
LigH 12 Geschrieben 13. August 2014 Autor Melden Teilen Geschrieben 13. August 2014 Spekulationen helfen hier nicht wirklich weiter, in diesem Fall passt deine Signatur leider ausgezeichnet... ;) Es geht hier nicht um Infektionen. Es geht auch nicht um Systemoptimierungen. Dieser Fehler betrifft jeden (zuvor noch) sauberen Windows-PC, der Java installiert hat (denn danach ... aber das ist schon wieder fast Religion; mehr dazu findet man beim "von-Leitner-Institut für verteiltes Echtzeit-Java"). Es geht um Zertifikate, die zur Prüfung der Echtheit von Übertragungen verwendet werden sollen. Solche Zertifikate benötigen auch einen Verweis auf eine Quelle, wo überprüft werden kann, ob dieses Zertifikat zurückgezogen wurde, also nicht mehr gültig ist (z.B. weil die ausstellende "Zertifikatsbehörde" kein Vertrauen mehr genießt). Soweit ich das bisher zu verstehen glaube, liegt das Problem wohl an folgender Stelle: Das von Oracle verwendete Zertifikat für Java-Updates enthält keine Adresse für eine zuständige Zertifikat-Rückzugs-Liste – oder eine Adresse, die nicht auf eine als grundsätzlich vertrauenswürdige CA verweist – weshalb davor gewarnt wird, sich darauf zu verlassen. Primär hätte also Oracle den Auftrag, mal endlich ein vollständiges Zertifikat zu erzeugen. Sekundär könnte man wohl auch die manuell ermittelbare CRL-Adresse als "vertrauenswürdig" abspeichern, auf eigenes Risiko mit dem Vertrauen Oracle gegenüber. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 13. August 2014 Melden Teilen Geschrieben 13. August 2014 Ich kann nur sagen, dass es hier bei uns nicht auftritt. Scheinbar also nur bei Dir. Also musst Du bei Dir den Fehler suchen. Das aktuelle Zertifikat von https://javadl-esd-secure.oracle.com ist jedenfalls gültig, wie ich heut im IE11 geprüft habe. Bitte verkneife Dir in Zukunft persönliche Kommentare. Es steht Dir frei, Support bei Oracle einzukaufen. Vielen Dank. Zitieren Link zu diesem Kommentar
LigH 12 Geschrieben 13. August 2014 Autor Melden Teilen Geschrieben 13. August 2014 Der "einzige Betroffene" bin ich sicher nicht. So etwas passiert auf allen PC in der Firma und privat, mit Windows XP bis 7, mit denen ich bisher zu tun hatte. Und im Internet findet man hunderte Seiten mit der gleichen Frage, wie dieses Problem zu lösen sei. Auch manche, die schon vor vielen Jahren gestellt wurden. So viele, dass man darunter die wenigen mit halbwegs logischen Versuchen zur Lösung nur schwer entdecken kann (das Deaktivieren der Prüfung auf zurückgezogene Zertifikate ist jedenfalls keine Lösung, die mir als "empfehlenswert" erscheint). Ich wende auch gern einen Teil meiner Freizeit dafür auf, wenn es anderen helfen könnte. Nur deshalb antworte ich mir hier nach über einem Jahr noch selber. Aber für aussichtslose Kommunikationsversuche hab ich kein Geld übrig... Zitieren Link zu diesem Kommentar
LigH 12 Geschrieben 15. August 2014 Autor Melden Teilen Geschrieben 15. August 2014 (bearbeitet) Nachtrag: Technet: Manuelles Importieren einer CRL Oracle verwendet mittlerweile eine CRL von GeoTrust, einer meiner Kenntnis nach noch vertrauenswürdigen CA. Dennoch ist es verwirrend, dass ihre automatische Aktualisierung offenbar nicht funktioniert. Mittlerweile frage ich mich schon, ob das Versagen darauf zurückführbar wäre, dass auf allen mir bekannten PCs, auf denen dieses Problem auftritt, nicht der Internet Explorer der Standard-Webbrowser ist, denn Firefox und Opera beispielsweise können mit dieser CRL-Datei nichts anfangen (Firefox würde sie nur speichern, Opera weist sie gar als fehlerhaft zurück)... --------------------------- Ungültige "Öffentlicher Schlüssel"-Sicherheitsobjektdatei --------------------------- Diese Datei ist für folgende Verwendung ungültig: Zertifikatsperrliste. --------------------------- OK --------------------------- Am Sichersten ist also wohl, wie im Technet-Beitrag erklärt: URL kopieren, speichern, im Explorer über Rechtsklick installieren im Zertifikatsspeicher für Vertrauenswürdige Herausgeber. Ob es was nützt, merke ich dann beim nächsten Java-Update... bearbeitet 15. August 2014 von LigH Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 15. August 2014 Melden Teilen Geschrieben 15. August 2014 Firefox hat seinen eigenen Keystore, Opera k.A. Falls das Problem nur vom Java-Update-Tool kommt: Es kann auch gut sein, dass irgendeine Komponente vom den Update-Tool keinen internetzugriff hat, weil Ihr einen Proxy benutzt und der Proxy z.B. für das System-Konto nicht konfiguriert ist (was auch gut so ist) Dann kann die CRL nicht abgerufen werden und es gibt eine "Beschwerde" Das Update-Tools deinstallieren wir nach der Verteilung des MSI-Pakets immer. Anleitungen findest Du im Netz. Ich habe gerade keine Lust für Dich zu suchen. PS: Nochmals der Hinweis: Eine CRL (Certificate Revocation list) listet nur zurückgezogene Zertifikate auf. So eine Datei wird nicht "importiert" sondern max. für eine gewisse Zeit automatisch gecached Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.