[WindowsXP] Nach Neuinstallation keine https Verbindungen mehr möglich...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

  • Hallo alle zusammen!


    Bin seit längerem mal wieder hier - eventuell demnächst auch wieder dauerhaft.


    Vorneweg: Nicht meckern, dass ich noch XP installiere. Bin ein Sammler historischer Notebooks und nebenbei ein kleiner "Sicherheitsfreak" und Programmierer, und ich brauche diese Kisten für manche Tests.
    Nach dem Neuaufsetzen einer solchen alten Kiste mit XP (erst XP mit Servicepack 2 draufgezogen, danach SP3 installiert, dann alle Updates gezogen) musste ich feststellen, dass auf dem Gerät keine https Verbindungen mehr möglich waren. Als Grund wurden mir da ungültige Stammzertifikate angezeigt. Leider habe ich da nicht bis ins Letzte nachgesehen, sondern den Fehler gleich gefixt (jetzt könnte ich mich dafür in den Arsch beißen), indem ich über ein älteres Tool von Microsoft die aktuellsten Stammzertifikate nachgeladen habe.
    Ich denke jetzt schon die ganze Zeit darüber nach, warum dieser Fehler wohl aufgetreten ist und bin zu folgenden Vermutungen gekommen:

    • Zertifikate sind nur für einen begrenzten Zeitraum gültig (das ist definitiv so).
    • Microsoft spielt Updates für Stammzertifikate über das Windowsupdate ein (das scheint, nach meinen Infos, auch so zu sein).
    • Bei Windowsversionen, die keinen Support mehr erhalten, entfernt Microsoft die Updates für die Stammzertifikate aus den Updates (Vermutung).
    • Bei einer Neuinstallation von Windowsversionen mit abgelaufenem Support erhält man nur noch die Stammzertifikate, die mit der CD mitgeliefert wurden (Vermutung).

    Mich würde jetzt folgendes interessieren:

    • Kann jemand meine Vermutungen bestätigen oder wiederlegen?
    • Hat jemand in letzter Zeit XP installiert? Trat das Problem da auch auf? Wie genau wurde XP installiert?

    Besten Dank im Voraus schon mal für's Mitgrübeln...

  • Besten Dank für die Rückmeldung. Es geht nur um Geräte, die gerade neu aufgesetzt wurden - und das wirklich vor kurzem.
    Alle anderen Geräte, die schon länger mi XP laufen, haben auch bei mir korrekte https Verbindungen.
    Wurde dein Gerät vor kurzem neu aufgesetzt?

  • Bin ein Sammler historischer Notebooks und nebenbei ein kleiner "Sicherheitsfreak" und Programmierer,

    Hallo, erkläre mir bitte mal wie das zusammen passt. Ich würde auch gerne noch XP benutzen, aber wie soll das auf sicherem Wege funktionieren?

  • Wie gesagt:
    Mein Verdacht ist, dass die Updates für die vertrauenswürdigen Zertifikate bei den Updates entfernt wurden. Wer die letzte Version schon hat, behält die natürlich. In der Regel sind die Zertifikate einige Jahre gültig. Wer jetzt aber neu aufsetzt, bekommt eventuell (wenn ich Recht habe) die aktuelle Version nicht mehr automatisch und surft mit abgelaufenen Zertifikaten und so ziemlich ohne https.

  • dass die Updates für die vertrauenswürdigen Zertifikate bei den Updates entfernt wurden

    Das ist ja wohl auch der Sinn von Zertifikaten! Sie sollen etwas zertifizieren, wenn nicht, dann sind sie ungültig.

  • Hast du verstanden, um was es mir geht und worauf ich hinaus will?
    Ich habe etwas den Eindruck, dass wir aneinander vorbeireden. Mein Verdacht ist, dass ältere Betriebssysteme keine Updates für vertrauenswürdige Stammzertifikate mehr erhalten, weil man die nicht mehr über die Server verteilt - auch die letzte aktuelle Version verteilt man nicht mehr, wenn mein Verdacht richtig ist. Nach einer Neuinstallation surft man also nicht mehr mit der letzten Version, die noch verteilt wurde, sondern mit wesentlich älteren Zertifikaten in der Root.

  • Ja und was ist an deiner Feststellung nun falsch?
    Wir reden nicht aneinander vorbei.
    Für ein BS, das außer Betrieb gesetzt wurde, gibt es keine vertrauenswürdige Stammzertifikate mehr.
    Damit bin ich hier raus. :-D

  • Na ja - die gibt es schon noch. Die muss man sich nur anders installieren.
    Die werden nicht automatisch gezogen, das ist sowieso klar.
    Wichtig ist (wenn ich Recht habe), dass man nach einer Neuinstallation nicht mehr mit dem Satz an Zertifikaten surft, den man zuletzt gehabt hat - sondern mit einem wesentlich älteren Satz - auch wenn man mit dem OS noch https Seiten aufrufen kann.
    Wenn ich Recht habe und Microsoft verfährt da einheitlich (du hälst es scheinbar sogar für selbstverständlich, das dem so ist, wenn ich dich jetzt richtig verstanden habe), dürfte das ja auch auf Windows7 zutreffen...
    Ist dem so, dürfte das die Lebensdauer eines abgelaufenen Betriebssystem nach einer Neuinstallation sehr stark verkürzen, da Otto Normalverbraucher irgendwann mit der Kiste (sei es 7, Vista, XP oder demnächst 8) nicht mehr richtig surfen kann.

    Wie gesagt, mich interessiert eigentlich nur, ob dem wirklich so ist.

  • Es kommt drauf an, in welchem Bereich man unterwegs ist und welche Interessen man hat. Ich bin unter anderem im Sicherheitsbereich unterwegs.
    Für mich steht dann auch bei aktuelleren Systemen fest, was ich jetzt tun muss und worum ich mich kümmern muss, damit ich weiterhin Sachen tun kann, die ich im Augenblick tue.

  • Ja, unter anderem darum geht es mir.
    Auch für den Support hier im Forum kann das wichtig werden, da es eventuell in näherer Zukunft hier zu komischen Supportanfragen kommen könnte, die man nur dann richtig beantworten kann, wenn man das genau weiß. :-)

  • Ich bin unter anderem im Sicherheitsbereich unterwegs.

    Das heißt, deine Kunden nutzen unsichere Betriebssysteme? Oder was soll ich mir da vorstellen. Beantworte doch bitte mal meine Frage aus Beitrag 4.

  • Nein, ich nutze sie, um Viren darauf zu testen.


    Um genauer zu sein: Ich bin einer von den Typen, die unter anderem Samples von unbekannten Viren an die Virenlabors schicken und damit dafür Sorgen, dass die Virenscanner überhaupt vernünftig funktionieren. Dafür ist es bei manchen Dingern aber auch wichtig zu testen, was die denn genau auf dem System tun.
    Am besten beobachten kann ich unter XP - unter 2000 läuft vieles nicht mehr. Was nicht unter XP läuft, teste ich unter Windows7 32Bit aus.
    Besonders interessant ist so etwas bei Powershell Trojanern, die nur codierte Registryeinträge erstellen, und keine Datei auf dem Rechner zurücklassen.


    Nach einer durchgeführten Infektion setze ich den Rechner dann per Image über Linux wieder neu auf - ich installiere Systeme eigentlich nur neu, wenn ich mir ein neues Testgerät zulege. Deswegen mein spezielles Interesse an der Sache und meine Frage hier im Forum.
    Ich bin mir auch immer noch nicht sicher, ob es an meiner Installation lag oder ob Microsoft da wirklich jetzt anfängt, Sachen auf den Servern nicht mehr zu veröffentlichen. Ich könnte mir echt in den Arsch beißen, dass ich bei den Zertifikaten nicht auf das Ablaufdatum geachtet habe. :-(


    Tut mir leid, ich hänge da jetzt noch was dran (bitte Beiträge mal zusammenfügen).


    Es könnten jetzt zwei Sachen mein Problem verursacht haben:

    • Microsoft hat die Updates für die Zertifikate von den Servern genommen.
    • Mein Installationsmedium ist defekt und es hat genau den Zusatz zerschossen, der für das Update der Zertifikate zuständig ist.

    Weil Microsoft auch ein bestimmtes Tool nicht mehr öffentlich zugänglich macht, gehe ich im Augenblick eher von 1. aus.
    Trift 2. zu, muss ich mir ein anderes Installationsmedium zulegen. Trifft 1. zu, muss ich mich aktuell eventuell um weitere Tools bemühen, bevor auch die nicht mehr downloadbar sind (wenn es die gibt).

  • @Solomon2, vielleicht wäre es günstiger, wenn Du Dich hier im Forum anmelden würdest. Deine Beiträge würden dann sofort erscheinen. Nicht immer ist ein Moderator zur Stelle, und schaltet Deine Beiträge gleich frei. Das kann schon mal etwas dauern.


    Gruß Volkmar

  • Ich habe hier schon 2 Accounts und möchte ungerne noch einen einrichten. Wenn wirklich sicher ist, dass ich hier weiter mache, mache ich mit meinem Hauptaccount weiter. Von dem existiert auf jeden Fall die Mailadresse noch.

  • Schade, dass unser Admin hier nicht härter durchgreift. :flopp:
    User mit mehr als einem Account würde ich sperren, wenn sie nicht bereit sind, die Forenregeln einzuhalten.