HTTPS-Zertifikatswarnung bei TUM-Webseiten mit Chrome unter Windows

TUM-IT-Newsletter tum-it-newsletter at lists.lrz.de
Di Mai 24 09:48:25 CEST 2016 

Liebe Kolleginnen und Kollegen,

 

wenn mit Chrome unter Windows auf https-Webseiten der TUM zugegriffen wird,
treten seit einiger Zeit sporadisch Zertifikatswarnungen auf. Dabei wird ein
unsicheres SHA-1-Zertifikat bemängelt (siehe Screenshot sha-1.png). Nach
langer Analyse haben wir die Ursache gefunden, können allerdings nur eine
manuelle Lösung für diesen „Fehlalarm“ anbieten. Im Folgenden möchte ich
Ihnen kurz den Hintergrund und die Lösung beschreiben, damit Sie bei
Nachfragen aus Ihrem Bereich passend reagieren können.

 

Hintergrund

Zertifikate z.B. für Webserver wurde lange Zeit mit dem SHA-1 Algorithmus
signiert und gegen Manipulationen abgesichert. Durch die stetig zunehmende
Rechenleistung werden SHA-1 signierte Zertifikate inzwischen aber als
potenziell unsicher eingestuft und sollten durch Zertifikate mit einer
stärkeren SHA-2 (SHA-256) Signatur abgelöst werden. Einige Browser wie
Chrome und Firefox verweigern inzwischen den Zugriff, wenn sie in der
Zertifizierungskette einer HTTPS-Verbindung auf ein SHA-1-Zertifikat stoßen
(siehe z.B. http://heise.de/-3049749 ).  

 

Vor mehreren Jahren wurde das Zertifikat der TUM daher auf SHA-256
umgestellt, auch die davon abgeleiteten Zertifikate der Webserver sind
entsprechend erneuert worden. Gerade bei älteren Rechnern kann es aber sein,
dass sich im Windows Zertifikatsspeicher neben dem neuen TUM-Zertifikat noch
das alte SHA-1 Zertifikat aus dem Jahr 2007  befindet. Im Normalfall spielt
dies keine Rolle, denn die Webserver der TUM liefern immer die volle
Zertifikatskette mit dem neuen SHA-256 Zwischenzertifikat der TUM aus.
Gelegentlich scheinen Rechner aber z.B. beim Prüfen der Sperrliste des
mitgelieferten SHA-256 Zertifikats zu scheitern und nutzen dann das alte
SHA-1 Zertifikat der TUM aus dem Zertifikatsspeicher von Windows. Dieses
Zertifikat wird dann von Chrome als unsicher abgelehnt und der Seitenzugriff
verweigert.

 

Dieses Problem scheint von äußeren Umständen (wahrscheinlich bei der der
Sperrlistenverwaltung) abhängig zu sein. Es ist daher nicht wirklich
reproduzierbar und tritt sehr selten auf. Betroffen ist nicht nur die TUM.
Auch die Kollegen vom DFN, von denen das TUM-Zertifikat abstammt, und
weitere Universitäten kennen dieses Verhalten. Mit den DFN-Kollegen haben
wir Lösungen diskutiert, unter anderem,  das SHA-1 Zertifikat der TUM
zurückzurufen und somit für ungültig zu erklären. Die möglichen
Seiteneffekte innerhalb unserer Serverlandschaft lassen sich aber nicht
einschätzen, sodass wir dieses Risiko nicht eingehen werden.  

  

 

Lösung

Nach aktuellem Kenntnisstand ist die sinnvollste Lösung, das alte SHA-1
Zertifikat der TUM aus dem Zertifikatsspeicher von Windows zu löschen.
Führen Sie dazu das Programm certmgr.msc aus. Klicken Sie unter
„Zwischenzertifizierungsstellen“ auf „Zertifikate“. Prüfen Sie, ob dort zwei
Zertifikate der TUM vorhanden sind (siehe Screenshot
„zwischenzertifikate.png“). Ermitteln Sie über die Eigenschaften der
Zertifikate das veraltete SHA-1 Zertifikat der TUM vom 13. Februar 2007 und
löschen Sie dieses.

 

Da der Fehler nur selten auftritt, kann man das Problem auch bis zum
12.2.2019, dem Ablaufdatum des SHA-1-Zertifikats, aussitzen. Die
Zertifikatskette unserer Webserver ist korrekt und nur Seiteneffekte führen
zur Fehlermeldung. Es genügt also im „Fehlerfall“, den Browser zu schließen,
kurz zu warten und dann die betroffene TUM-Seite neu aufzurufen.

 

 

Mit freundlichen Grüßen

 

Albert Lauchner

 

--

Dipl. Phys. Albert Lauchner, Leiter IT-Management

Technische Universität München, IT-Servicezentrum 

Karlstr. 45, 80333 München

Tel: +49 89 289 22256, Mobil: +49 162 2957204, www.it.tum.de

 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20160524/327b12fd/attachment-0001.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : sha-1.png
Dateityp    : image/png
Dateigröße  : 185853 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20160524/327b12fd/attachment-0002.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : zwischenzertifikate.png
Dateityp    : image/png
Dateigröße  : 237731 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20160524/327b12fd/attachment-0003.png>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5825 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.lrz.de/pipermail/tum-it-newsletter/attachments/20160524/327b12fd/attachment-0001.p7s>

Mehr Informationen über die Mailingliste TUM-IT-Newsletter