Jump to content

Java-Update: Keine Sperrinformationen für das Sicherheitszertifikat dieser Site


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich weiß, es gibt schon mehrere Beiträge zu ähnlichen Themen (auch mit mehr oder weniger freundlichen Hinweisen, alte Beiträge bitte nicht unnötig fortzusetzen), aber ich hab's immer noch nicht so recht verstanden:

 

Der Java-Updater zeigt ab und zu mal einfach zwischendurch, auch ohne laufenden Webbrowser, auf gut gepflegten PCs (heißt, ich sollte eigentlich keine zusätzlichen Patches über Stammzertifikate installieren müssen, die nicht schon im Microsoft Update aufgetaucht wären) mit Windows XP SP3 oder Windows 7 SP1, die anscheinend relativ bekannte Fehlermeldung:

 

Es sind keine Sperrinformationen für das Sicherheitszertifikat dieser Site verfügbar. Möchten Sie den Vorgang fortsetzen?

 

28218.png

 

In diesem Dialog erfährt man aber keinerlei Details darüber:

 

  • Ist das ein ernstes Problem?
  • Welche Konsequenzen hat es, wenn ich entweder "Ja" oder "Nein" klicke?
  • Unter welchen Voraussetzungen ist welche Reaktion angemessen?
  • Wie kann ich in Zukunft das Erscheinen dieses Dialogs vermeiden?
  • Nützt es mir etwas, die Details dieses Zertifikats anzeigen zu lassen?

 

Nun ja, zum letzten Punkt: Darüber habe ich zumindest erfahren, dass das Zertifikat was mit Java zu tun hat.

 

28219.png

 

Ich bin zwar schon auf die Idee gekommen, dieses Zertifikat zu installieren. Aber das nützt nichts. Der Dialog erscheint ab und zu immer noch.

 

Daher hoffe ich, dass es irgendwo auch mal eine wirklich ausführliche und umfassende Erklärung gibt. Bisher hab ich nur Ansätze gefunden, aber keine wirklich verständliche Erklärung zur Ursache und Bedeutung.

 

In den Internet-Optionen die Prüfung auf gesperrte Zertifikate auszuschalten, halte ich so gefühlsmäßig nicht für allgemein empfehlenswert. Wird ja wohl einen Grund haben, wenn Zertifikate gesperrt werden. Man hat ja in letzter Zeit ab und zu über gehackte Stammzertifikatsaussteller gelesen. Da müssen dadurch wohl ganze Bäume von Vertrauensketten ihre Vertrauenswürdigkeit verloren haben...

Link zu diesem Kommentar
  • 1 Jahr später...

Java verendet intern seinen eigenen Keystore. Java sollte  unbedingt immer mit  dem neusten supporteten Patch-Stand installiert sein.

 

Wenn Java plötzlich bei irgendwelchen Webseiten startet ohne dass man irgendein Applet sieht, kann es durch sein, dass die  betreffende Website gehackt wurde  und ein Exploit-Kit lädt.

 

CRL's werden automatisch abgerufen. Sonst würde das keinen  Sinn man.

 

Der obige Server https://javadl-esd-secure.oracle.com  benutzt jetzt eine andere  CA (Geotrust)

Link zu diesem Kommentar

Ja, dann erklär mir doch bitte mal, warum auch während dieser JRE-Update-Meldungen oder beim Lesen von Emails in Outlook immer noch dieser Dialog aufgeht, und wie sich das korrekt vermeiden ließe (und sei es nur, dass mal jemand eindeutig klarstellt, dass Oracle zu b***d dazu ist, vollständige Zertifikate herzustellen). Es hat doch *** noch mal zu reichen, wenn ich den Updater laufen lasse! Meiner Meinung nach zumindest...

bearbeitet von LigH
Link zu diesem Kommentar

Spekulationen helfen hier nicht wirklich weiter, in diesem Fall passt deine Signatur leider ausgezeichnet... ;)

 

Es geht hier nicht um Infektionen. Es geht auch nicht um Systemoptimierungen. Dieser Fehler betrifft jeden (zuvor noch) sauberen Windows-PC, der Java installiert hat (denn danach ... aber das ist schon wieder fast Religion; mehr dazu findet man beim "von-Leitner-Institut für verteiltes Echtzeit-Java").

 

Es geht um Zertifikate, die zur Prüfung der Echtheit von Übertragungen verwendet werden sollen. Solche Zertifikate benötigen auch einen Verweis auf eine Quelle, wo überprüft werden kann, ob dieses Zertifikat zurückgezogen wurde, also nicht mehr gültig ist (z.B. weil die ausstellende "Zertifikatsbehörde" kein Vertrauen mehr genießt).

 

Soweit ich das bisher zu verstehen glaube, liegt das Problem wohl an folgender Stelle: Das von Oracle verwendete Zertifikat für Java-Updates enthält keine Adresse für eine zuständige Zertifikat-Rückzugs-Liste – oder eine Adresse, die nicht auf eine als grundsätzlich vertrauenswürdige CA verweist – weshalb davor gewarnt wird, sich darauf zu verlassen.

 

Primär hätte also Oracle den Auftrag, mal endlich ein vollständiges Zertifikat zu erzeugen. Sekundär könnte man wohl auch die manuell ermittelbare CRL-Adresse als "vertrauenswürdig" abspeichern, auf eigenes Risiko mit dem Vertrauen Oracle gegenüber.

Link zu diesem Kommentar

Ich kann nur sagen, dass es hier bei uns  nicht auftritt. Scheinbar also nur bei Dir. Also musst Du bei Dir den Fehler suchen.

 

Das aktuelle Zertifikat von https://javadl-esd-secure.oracle.com   ist jedenfalls gültig, wie ich heut im IE11 geprüft habe.

 

Bitte verkneife Dir in Zukunft persönliche Kommentare.

Es steht Dir frei, Support bei Oracle einzukaufen.

 

Vielen  Dank.

Link zu diesem Kommentar

Der "einzige Betroffene" bin ich sicher nicht. So etwas passiert auf allen PC in der Firma und privat, mit Windows XP bis 7, mit denen ich bisher zu tun hatte. Und im Internet findet man hunderte Seiten mit der gleichen Frage, wie dieses Problem zu lösen sei. Auch manche, die schon vor vielen Jahren gestellt wurden. So viele, dass man darunter die wenigen mit halbwegs logischen Versuchen zur Lösung nur schwer entdecken kann (das Deaktivieren der Prüfung auf zurückgezogene Zertifikate ist jedenfalls keine Lösung, die mir als "empfehlenswert" erscheint).

 

Ich wende auch gern einen Teil meiner Freizeit dafür auf, wenn es anderen helfen könnte. Nur deshalb antworte ich mir hier nach über einem Jahr noch selber. Aber für aussichtslose Kommunikationsversuche hab ich kein Geld übrig...

Link zu diesem Kommentar

Nachtrag:

 

Technet: Manuelles Importieren einer CRL

 

Oracle verwendet mittlerweile eine CRL von GeoTrust, einer meiner Kenntnis nach noch vertrauenswürdigen CA. Dennoch ist es verwirrend, dass ihre automatische Aktualisierung offenbar nicht funktioniert. Mittlerweile frage ich mich schon, ob das Versagen darauf zurückführbar wäre, dass auf allen mir bekannten PCs, auf denen dieses Problem auftritt, nicht der Internet Explorer der Standard-Webbrowser ist, denn Firefox und Opera beispielsweise können mit dieser CRL-Datei nichts anfangen (Firefox würde sie nur speichern, Opera weist sie gar als fehlerhaft zurück)...



---------------------------
Ungültige "Öffentlicher Schlüssel"-Sicherheitsobjektdatei
---------------------------
Diese Datei ist für folgende Verwendung ungültig: Zertifikatsperrliste.
---------------------------
OK
---------------------------

Am Sichersten ist also wohl, wie im Technet-Beitrag erklärt: URL kopieren, speichern, im Explorer über Rechtsklick installieren im Zertifikatsspeicher für Vertrauenswürdige Herausgeber.

 

Ob es was nützt, merke ich dann beim nächsten Java-Update...

bearbeitet von LigH
Link zu diesem Kommentar

Firefox hat seinen eigenen Keystore, Opera k.A.

Falls das Problem nur vom Java-Update-Tool kommt:

Es kann auch gut sein, dass irgendeine Komponente vom den Update-Tool keinen internetzugriff hat, weil Ihr einen Proxy benutzt und der Proxy z.B. für das System-Konto nicht konfiguriert ist (was auch gut so ist)

Dann kann die CRL nicht abgerufen werden und es gibt eine "Beschwerde"

Das Update-Tools deinstallieren wir nach der Verteilung des MSI-Pakets immer.

Anleitungen findest Du im Netz.

Ich habe gerade keine Lust für Dich zu suchen.

 

PS: Nochmals der Hinweis: Eine CRL (Certificate Revocation list) listet nur zurückgezogene Zertifikate auf. So eine Datei wird nicht "importiert" sondern max. für eine gewisse Zeit automatisch  gecached 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...