Listen verfügbarer vertrauenswürdiger Root-Zertifikate in macOS

Der vertrauenswürdige Speicher von macOS enthält vertrauenswürdige Root-Zertifikate, die auf macOS vorinstalliert sind.

Aufhebung der Vertrauenswürdigkeit des Zertifikats WoSign CA Free SSL Certificate G2

Die Zertifizierungsinstanz WoSign stieß auf mehrere Kontrollfehler bei ihren Verfahren zur Zertifikatsausstellung für die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2. Obwohl in der Liste der Root-Zertifikate, denen Apple vertraut, kein WoSign-Root-Zertifikat aufgeführt ist, verwendete diese Zwischen-Zertifizierungsstelle gegengezeichnete Zertifikatsbeziehungen mit StartCom und Comodo, um eine Vertrauenswürdigkeit mit Apple-Produkten aufzubauen.

Angesichts dieser Erkenntnisse wurden mit einem Sicherheitsupdate entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2 wird von Apple-Produkten nicht mehr als vertrauenswürdig erachtet.

Um zu vermeiden, dass es bei bestehenden WoSign-Zertifikatsinhabern zu Beeinträchtigungen kommt, und um ihnen den Umstieg auf vertrauenswürdige Root-Zertifikate zu ermöglichen, werden Apple-Produkte einzelnen bestehenden Zertifikaten, die von dieser Zwischen-Zertifizierungsinstanz ausgestellt wurden und bis zum 19. September 2016 auf öffentlichen Protokollservern für Zertifikatstransparenz veröffentlicht wurden, weiterhin vertrauen. Sie gelten so lange als vertrauenswürdig, bis sie abgelaufen, widerrufen oder nach eigenem Ermessen von Apple für nicht vertrauenswürdig erklärt wurden.

Im Verlauf der Untersuchung werden wir weitere Maßnahmen bezüglich der WoSign/StartCom-Vertrauensanker in Apple-Produkten ergreifen, um je nach Bedarf die Nutzer zu schützen.

Weitere Maßnahmen für WoSign

Nach weiteren Untersuchungen kamen wir zu dem Schluss, dass neben mehreren Kontrollfehlern beim Betrieb der WoSign-Zertifizierungsinstanz (CA) WoSign den Erwerb von StartCom nicht offengelegt hat.

In einem anstehenden Sicherheitsupdate werden weitere entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Apple-Produkte werden Zertifikate von WoSign- und StartCom-Root-Zertifizierungsinstanzen (CA) sperren, sofern die Datumsangabe für "Not Before" (Nicht vor) 1. Dezember 2016 00:00:00 GMT/UTC lautet oder danach liegt.

Informationen zur Vertrauenswürdigkeit und zu Zertifikaten

Jeder unten aufgeführte vertrauenswürdige Speicher von macOS enthält drei Zertifikatskategorien:

  • Vertrauenswürdige Zertifikate zum Einrichten einer Vertrauenskette, die andere Zertifikate überprüft, die von den vertrauenswürdigen Roots signiert sind, z. B. um eine sichere Verbindung zu einem Webserver herzustellen. Wenn IT-Administratoren Konfigurationsprofile für macOS erstellen, müssen diese vertrauenswürdigen Root-Zertifikate nicht einbezogen werden.
  • Zertifikate vom Typ "Immer fragen" sind nicht vertrauenswürdig, werden jedoch nicht gesperrt. Wenn eines dieser Zertifikate verwendet wird, wirst du gefragt, ob du ihm vertraust oder nicht.
  • Gesperrte Zertifikate gelten als gefährlich und sind nie vertrauenswürdig.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: