Verisign Zertifikat läuft ab

[vEiT736]

Servus zusammen,

durch unser Monitoring ist mir aufgefallen, dass am 25.10.2016 bei anscheinend allen unserern Windows Servern (auch Client OS) ein Zertifikat abläuft.

Und zwar befindet sich das Zertifikat unter Computerzertifikate -> Zwischenzertifizierungsstellen -> Zertifikate

Name des Zertifikats www.verisign.com/CPS Incorp.by Ref.LIABILITY LTD.(c)97 VeriSign

Ist anscheinend für die Server- und Clientauthentifizierung zuständig.

Also wie gesagt das Zertifikat befindet sich auf allen Windows-Servern des Produktivsystems, hab dann mal auf ein Paar Windows-VMs in meiner Tüftelumgebung nachgeschaut (Quarantäne-Netz mit anderem VLAN Tag, keinerlei Zusammenhang mit Produktiv-Netzen) und siehe da, auch hier bei allen Servern das gleiche Zertifikat.

Mich würde interessieren ob Ihr auch das gleiche Zertifikat drinnen habt & ob mir jemand sagen kann ob hier handlungsbedarf besteht oder ob sich das Zertifikat evtl. durch Windows Updates erneuert.


Leider hab ich, was Zertifikate angeht noch nicht so den Durchblick, deswegen hoffe ich auf eure Einschätzung.

Hab noch folgenden Artikel gefunden, würde in etwa mit dem Datum von unserem Zertifikat übereinstimmen:
http://blog.techstacks.com/2011/10/oh-verisign-you-so-funny-another-expired-intermediate-cert.html



Viele Grüße,

vEiT736

 

[d4nY]

Dass Zertifikate ablaufen ist der Lauf der Dinge, die haben eine fixe Laufzeit und laufen dann ab (laufen, laufen, laufen )

Wenn ich mir das Zertifikat so anschaue (SHA1, 1024 Bit) ist es auch gut so, dass es abläuft, weil das schon lange nicht mehr sicher ist. Die Zwischen- oder Wurzelzertifikate werden auch schon früh genug erneuert, so dass alle ausgestellten Zertifikate weiterhin funktionieren.

Mit ziemlicher Sicherheit wird eines der 3 anderen VeriSign Zertifikate das alte ersetzen ohne dass man irgendetwas merkt, weil alle neu signierten Zertifikate bereits das neue Intermed nutzen oder bis dahin schon abgelaufen sind

So SOLLTE es zumindest sein, ob es dann auch so IST zeigen spätestens die roten Fenster im Browser

 

[vEiT736]

Servus,

dass Zertifikate ablaufen ist mir natürlich bewusst war vielleicht etwas unglücklich ausgedrückt mir kams halt nur komisch vor, weil sich auch von meinen Kollegen keiner daran erinnern konnte jemals ein Zertifikat von VeriSign eingebunden zu haben und weil es halt nicht von Microsoft kommt.

Hast du also insgesamt 4 VeriSign Zertifikate in dem Ordner? bei den Systemen auf denen ich nachgeschaut habe, ist jeweils nur eines von VeriSign.

Also deine Einschätzung ist, es dürfte sich von alleine ein neues Zertifikat ausgestellt werden?

LG

 

[d4nY]

Es gibt eines mit Bezeichnung "www.versign.com/CPS ..." und dann noch 3 mit Bezeichnung "VeriSign Class 3 ..."

Ich hätte jetzt behauptet die sind alle über Windows Update verteilt worden.

Normalerweise ist es so, dass die Laufzeit eines signierten Zertifikates nicht länger sein kann, als die des übergeordneten (also des Zwischenzertifikates). Bis dieser Fall eintritt sollte eigentlich schon seit längerer Zeit ein neues Zwischenzertifikat vorhanden sein. Das alte wird dann nur noch benötigt um die vorher signierten Zertifikate (die aber alle bis dahin ablaufen und erneuert werden müssen) zu verifizieren

Aus dem Grund hat man auch immer nen ganzen Pack an Wurzel- und Zwischenzertifikaten im CertStore

Mal ein konkretes Beispiel:
Ein Client/Server-Zertifikat hat eine Laufzeit von 2 Jahren. Das Intermed hat 8 Jahre, das Root 16 Jahre.
Nach 4 Jahren wird ein neues Intermed erstellt (ebenfalls mit 8 Jahren Laufzeit), ab diesem Zeitpunkt werden alle neuen Client/Server-Zertifikate mit dem neuem Intermed signiert.
Es bleiben also 4 Jahre Zeit für die alten Client/Server-Zertifikate (von Intermed 1 signiert), da diese aber eh nur eine Laufzeit von 2 Jahren haben müssen sie sowieso erneuert werden bevor Intermed 1 abläuft.
Wenn dann Intermed 1 abläuft, ist jedes bis dahin erstellte Zertifikat von Intermed 2 signiert worden

Nach 4 Jahren gehts dann wieder von vorne los

Hoffe das war verständlich