Sicherheitsempfehlung
Microsoft Security Advisory 2607712
Betrügerische digitale Zertifikate könnten Spoofing zulassen
Veröffentlicht: 29. August 2011 | Aktualisiert: 19. September 2011
Version: 5.0
Allgemeine Informationen
Kurzfassung
Microsoft ist sich der aktiven Angriffe bewusst, die mindestens ein betrügerisches digitales Zertifikat verwenden, das von DigiNotar ausgestellt wurde, einer Zertifizierungsstelle, die im Store für vertrauenswürdige Stammzertifizierungsstellen vorhanden ist. Ein betrügerisches Zertifikat könnte verwendet werden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auf alle Webbrowserbenutzer einschließlich Benutzer von Internet Explorer durchzuführen. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, wirkt sich dieses Problem auf alle unterstützten Versionen von Microsoft Windows aus.
Microsoft untersucht dieses Problem weiterhin. Basierend auf der vorläufigen Untersuchung stellt Microsoft am 13. September 2011 ein neues Update (KB2616676) für alle unterstützten Versionen von Microsoft Windows bereit, die das Vertrauen der folgenden DigiNotar-Stammzertifikate widerrufen, indem sie sie in den Microsoft Untrusted Certificate Store setzen:
- DigiNotar Root CA
- DigiNotar Root CA G2
- DigiNotar PKIoverheid CA Overheid
- DigiNotar PKIoverheid CA Organisatie - G2
- DigiNotar PKIoverheid CA Overheid en Bedrijven
- DigiNotar Root CA ausgestellt von Entrust (2 Zertifikate)
- DigiNotar Services 1024 CA ausgestellt von Entrust
- DigiNotar Cyber CA ausgestellt von GTE CyberTrust (3 Zertifikate)
Empfehlung Microsoft empfiehlt Kunden, das Update sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Bekannte Probleme.Microsoft Knowledge Base-Artikel 2616676 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Updates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2616676 |
Betroffene Software und Geräte
In dieser Empfehlung werden die folgenden Software und Geräte erläutert.
| Betroffene Software |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2* |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2* |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 |
| Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1* |
| Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
*Server Core-Installation betroffen. Diese Empfehlung gilt für unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2, wie angegeben, unabhängig davon, ob die Server Core-Installationsoption installiert wurde. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln zum Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption nicht für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 gilt; siehe Vergleich der Server Core-Installationsoptionen.
| Nicht betroffene Geräte |
|---|
| Windows Mobile 6.x |
| Windows Phone 7 |
| Windows Phone 7.5 |
Häufig gestellte Fragen
Warum wurde diese Empfehlung am 19. September 2011 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die erneute Aktualisierung des KB2616676 Updates bekanntzugeben. Die Erneute Aktualisierung ist jetzt kumulativ und behebt ein bekanntes Problem, das im Microsoft Knowledge Base-Artikel 2616676 beschrieben wird, in dem das ursprüngliche KB2616676 Update nur für unterstützte Editionen von Windows XP und Windows Server 2003 die digitalen Zertifikate enthält, die in den KB2607712 und KB2524375 Updates enthalten sind.
Kunden von unterstützten Editionen von Windows XP und Windows Server 2003 sollten die erneuten Versionen des KB2616676 Updates anwenden, um gegen die Verwendung der betrügerischen Zertifikate gemäß dieser Empfehlung geschützt zu werden. Kunden unterstützter Editionen von Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 sind von dieser Erneutversion nicht betroffen.
Beachten Sie, dass das Update kunden von unterstützten Editionen von Windows XP und Windows Server 2003 nicht angeboten wird, wenn das ursprüngliche KB2616676, KB2607712 und KB2524375 Updates bereits angewendet wurden, da das Paket für die erneute Aktualisierung kumulativ ist und alle Änderungen aus diesen drei Updatepaketen enthält.
Die mehrzahl der Kunden hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das erneut zurückgegebene KB2616676 Update automatisch heruntergeladen und installiert wird.
Ist Windows Developer Preview von diesem Problem betroffen?
Ja. Das KB2616676 Update ist für die Windows Developer Preview-Version verfügbar. Kunden von Windows Developer Preview werden ermutigt, das Update auf ihre Systeme anzuwenden. Das Update ist nur unter Windows Update verfügbar.
Warum wurde diese Empfehlung am 13. September 2011 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung des KB2616676 Updates bekanntzugeben, das dieses Problem behebt. Das Update fügt dem Microsoft Untrusted Certificate Store sechs zusätzliche DigiNotar-Stammzertifikate hinzu, die von Entrust oder GTE signiert werden. Das KB2616676 Update ersetzt das KB2607712 Update und enthält auch die vorherigen fünf DigiNotar-Stammzertifikate, die dem Microsoft Untrusted Certificate Store durch das KB2607712 Update hinzugefügt wurden.
Obwohl das KB2616676 Update das KB2607712 Update ersetzt, ist das KB2607712 Update keine Voraussetzung für das KB2616676 Update. Unabhängig davon, ob das KB2607712 Update angewendet wurde, sollten Kunden das KB2616676 Update anwenden, um das in dieser Empfehlung beschriebene Problem zu beheben. Kunden, die das KB2616676 Update anwenden, müssen das KB2607712 Update nicht anwenden.
Warum wurde diese Empfehlung am 6. September 2011 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung eines Updates ankündigen zu können, das dieses Problem behebt. Das Update fügt fünf DigiNotar-Stammzertifikate zum Microsoft Untrusted Certificate Store hinzu. In der Regel ist keine Aktion für Kunden erforderlich, um dieses Update zu installieren, da der Großteil der Kunden die automatische Aktualisierung aktiviert hat und dieses Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, finden Sie im Microsoft Knowledge Base-Artikel 2607712 Informationen zum manuellen Anwenden des Updates.
Am 29. August 2011 hat Microsoft die Vertrauensstellung von einem DigiNotar-Stammzertifikat entfernt, indem er die Microsoft CTL aktualisiert. Warum veröffentlicht Microsoft ein Update?
Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 verwenden die Microsoft-Zertifikatvertrauensliste, um die Vertrauensstellung einer Zertifizierungsstelle zu überprüfen. Windows XP und Windows Server 2003 verwenden nicht die Microsoft-Zertifikatvertrauensliste, um die Vertrauensstellung einer Zertifizierungsstelle zu überprüfen. Daher wird ein Update für alle Editionen von Windows XP und Windows Server 2003 benötigt, um Kunden zu schützen.
Nach dem CTL-Update am 29. August 2011 werden Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2-Benutzer, die auf eine Website zugegriffen haben, die von einem nicht vertrauenswürdigen DigiNotar-Stammzertifikat signiert wurde, eine Warnmeldung angezeigt, die angibt, dass die Vertrauensstellung des Zertifikats nicht überprüft werden konnte. Benutzer konnten auf diese Warnmeldung klicken, um auf die Website zuzugreifen.
Um Kunden umfassender vor möglichen Man-in-the-Middle-Angriffen zu schützen, veröffentlicht Microsoft ein Update, das zusätzliche Maßnahmen zum Schutz von Kunden ergreift, indem Internet Explorer-Benutzer vollständig daran hindern, auf Ressourcen von Websites zuzugreifen, die Zertifikate enthielten, die von den nicht vertrauenswürdigen DigiNotar-Stammzertifikaten signiert wurden. Internet Explorer-Benutzer, die dieses Update anwenden, erhalten eine Fehlermeldung, wenn Sie versuchen, auf eine Website zuzugreifen, die von einem der oben genannten DigiNotar-Stammzertifikate signiert wurde. Diese Benutzer können nicht weiterhin auf die Website zugreifen.
Was geschieht mit dem KB2616676 Update?
Bei allen unterstützten Versionen von Microsoft Windows fügt das KB2616676 Update elf DigiNotar-Stammzertifikate zum Microsoft Untrusted Certificate Store hinzu. Darüber hinaus enthält das KB2616676 Update auch die Zertifikate im KB2524375 Update, das am 6. Juli 2011 veröffentlicht wurde.
Wie ändert dieses Update die Benutzeroberfläche, wenn versucht wird, auf eine Website zuzugreifen, die mit TLS verschlüsselt wurde und von einem nicht vertrauenswürdigen DigiNotar-Stammzertifikat signiert wurde?
Internet Explorer-Benutzer, die versuchen, auf eine Website zuzugreifen, die von einem nicht vertrauenswürdigen DigiNotar-Stammzertifikat signiert wurde, werden mit einer Fehlermeldung aufgefordert. Aufgrund der Tatsache, dass sich dieses Zertifikat im Microsoft Nicht vertrauenswürdigen Zertifikatspeicher befindet, erlaubt Internet Explorer benutzern nicht, zur Website zu wechseln. Die Website wird erneut verfügbar sein Standard, bis das Websitezertifikat durch ein neues Zertifikat ersetzt wird, das von einem vertrauenswürdigen Stammzertifikat signiert ist.
Wie kann ich nach dem Anwenden des Updates die Zertifikate im Microsoft-Speicher für nicht vertrauenswürdige Zertifikate überprüfen?
Informationen zum Anzeigen von Zertifikaten finden Sie im MSDN-Artikel " How to: View Certificates with the MMC Snap-in".
Überprüfen Sie im MMC-Snap-In "Zertifikate", ob die folgenden Zertifikate dem Ordner "Nicht vertrauenswürdige Zertifikate " hinzugefügt wurden:
| Zertifikat | Issued by | Fingerabdruck | Aktualisieren* |
|---|---|---|---|
| DigiNotar Root CA | DigiNotar Root CA | c0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c | KB2607712,\ KB2616676 |
| DigiNotar Root CA G2 | DigiNotar Root CA G2 | 43 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA Overheid | Staat der Nederlanden Overheid CA | b5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA Organisatie - G2 | Staat der Nederlanden Organisatie CA - G2 | 5d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 | KB2607712,\ KB2616676 |
| DigiNotar PKIoverheid CA Overheid en Bedrijven | Staat der Nederlanden Overheid CA | 40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 | KB2607712,\ KB2616676 |
| DigiNotar Root CA | Entrust.net Zertifizierungsstelle für sichere Server | 86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 | KB2616676 |
| DigiNotar Root CA | Entrust.net Zertifizierungsstelle für sichere Server | 36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb | KB2616676 |
| DigiNotar Services 1024 CA | Entrust.net Zertifizierungsstelle für sichere Server | f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 | KB2616676 |
| DigiNotar Cyber CA | GTE CyberTrust Global Root | 98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 | KB2616676 |
*Zertifikat, das von diesen Updates zum Ordner "Nicht vertrauenswürdige Zertifikate" hinzugefügt wurde.
Das KB2616676 Update enthält auch die Zertifikate im KB2524375 Update, das dem Ordner "Nicht vertrauenswürdige Zertifikate" hinzugefügt wurde.
Was ist der Umfang der Beratung?
Zweck dieser Empfehlung ist es, Kunden darüber zu informieren, dass Microsoft mindestens ein betrügerisches Zertifikat von DigiNotar ausgestellt hat und in aktiven Angriffen verwendet wird. Microsoft hat ein Update für alle unterstützten Versionen von Microsoft Windows ausgestellt, das das Problem behebt.
Was ist Kryptografie?
Kryptografie ist die Wissenschaft der Sicherung von Informationen, indem sie zwischen ihrem normalen, lesbaren Zustand (als Klartext bezeichnet) und einer konvertiert wird, in dem die Daten verdeckt werden (sogenannter Chiffretext).
In allen Formen der Kryptografie wird ein Als Schlüssel bezeichneter Wert in Verbindung mit einem Verfahren verwendet, das als Kryptoalgorithmus bezeichnet wird, um Nur-Text-Daten in Chiffretext umzuwandeln. In der bekanntesten Art von Kryptografie, Geheimschlüssel-Kryptografie, wird der Chiffretext mithilfe desselben Schlüssels wieder in Nur-Text umgewandelt. In einer zweiten Art von Kryptografie wird jedoch ein anderer Schlüssel verwendet, um den Chiffretext wieder in Nur-Text umzuwandeln.
Was ist ein digitales Zertifikat?
Bei der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist ein manipulationssicheres Datenstück, das einen öffentlichen Schlüssel zusammen mit Informationen darüber verpackt – wer es besitzt, wofür es verwendet werden kann, wann er abläuft usw.
Wofür werden Zertifikate verwendet?
Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie nicht über Zertifikate nachdenken. Möglicherweise wird ihnen jedoch eine Meldung angezeigt, die besagt, dass ein Zertifikat abgelaufen oder ungültig ist. In diesen Fällen sollten Sie den Anweisungen in der Nachricht folgen.
Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.
Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?
Eine Vertrauensstellung muss zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht vorhanden sein. Eine Methode zur Einrichtung dieses Vertrauens ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen sind, die sie sein wollen. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, die von beiden anderen Parteien als vertrauenswürdig eingestuft wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Wurzeln überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Themen bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel " Zertifikatvertrauensüberprüfung.For more information, please see the MSDN article, Certificate Trust Verification.
Was hat das Problem verursacht?
Microsoft ist sich der aktiven Angriffe bewusst, die mindestens ein betrügerisches digitales Zertifikat verwenden, das von DigiNotar ausgestellt wurde, einer Zertifizierungsstelle, die im Store für vertrauenswürdige Stammzertifizierungsstellen vorhanden ist. Ein betrügerisches Zertifikat könnte verwendet werden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auf alle Webbrowserbenutzer einschließlich Benutzer von Internet Explorer durchzuführen. Obwohl dies keine Sicherheitsanfälligkeit in einem Microsoft-Produkt ist, wirkt sich dieses Problem auf alle unterstützten Versionen von Microsoft Windows aus.
Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun?
Ein Angreifer könnte diese Zertifikate verwenden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowserbenutzer einschließlich Benutzer von Internet Explorer durchzuführen.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was ist das Verfahren zum Widerrufen eines Zertifikats?
Es gibt ein Standardverfahren, mit dem eine Zertifizierungsstelle verhindern kann, dass Zertifikate akzeptiert werden, wenn sie verwendet werden. Jeder Zertifikataussteller generiert in regelmäßigen Abständen eine CRL, die alle Zertifikate auflistet, die als ungültig angesehen werden sollten. Jedes Zertifikat sollte eine Datenmenge bereitstellen, die als CRL-Verteilungspunkt (CRL Distribution Point, CDP) bezeichnet wird, der den Speicherort angibt, an dem die CRL abgerufen werden kann.
Eine alternative Möglichkeit für Webbrowser, die Identität eines digitalen Zertifikats zu überprüfen, ist die Verwendung des Online Certificate Status Protocol (OCSP). OCSP ermöglicht die interaktive Überprüfung eines Zertifikats, indem eine Verbindung mit einem OCSP-Responder hergestellt wird, der von der Zertifizierungsstelle gehostet wird, die das digitale Zertifikat signiert hat. Jedes Zertifikat sollte einen Zeiger auf den OCSP-Antworterspeicherort über die AIA-Erweiterung (Authority Information Access) im Zertifikat bereitstellen. Darüber hinaus ermöglicht die OCSP-Heftung dem Webserver selbst, eine OCSP-Überprüfungsantwort für den Client bereitzustellen.
Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert. Wenn bei diesen Betriebssystemen die OCSP-Überprüfung fehlschlägt, überprüft der Browser das Zertifikat, indem er den CRL-Speicherort kontaktiert.
Weitere Informationen zur Zertifikatsperrüberprüfung finden Sie im TechNet-Artikel, Zertifikatsperrung und Statusüberprüfung.
Was ist eine Zertifikatsperrliste (Certificate Revocation List, CRL)?
CRL ist eine digital signierte Liste, die von einer Zertifizierungsstelle ausgestellt wurde, die eine Liste der von der Zertifizierungsstelle ausgestellten Zertifikate enthält und anschließend von der Zertifizierungsstelle widerrufen wurde. Für jedes einzelne widerrufene Zertifikat enthält der Eintrag die Seriennummer des Zertifikats, das Datum, an dem das Zertifikat widerrufen wurde, und den Sperrgrund. Anwendungen können eine CRL-Überprüfung durchführen, um den Sperrstatus eines präsentierten Zertifikats zu ermitteln.
Was ist CRL Distribution Point (CDP)?
CDP ist eine Zertifikaterweiterung, die angibt, wo die Zertifikatsperrliste für eine Zertifizierungsstelle abgerufen werden kann. Sie kann keine, eine oder viele HTTP-, Datei- oder LDAP-URLs enthalten.
Was ist das Online Certificate Status Protocol (OCSP)?
OCSP ist ein Protokoll, das die Überprüfung des Status eines Zertifikats in Echtzeit ermöglicht. In der Regel antwortet ein OCSP-Responder mit dem Sperrstatus basierend auf der von der Zertifizierungsstelle abgerufenen CRL.
Was tut Microsoft, um bei der Lösung dieses Problems zu helfen?
Obwohl dieses Problem nicht auf ein Problem in einem Microsoft-Produkt resultiert, haben wir dennoch die Zertifikatvertrauensliste aktualisiert, um die Vertrauensstellung im DigiNotar-Stammzertifikat zu entfernen. Microsoft wird dieses Problem weiterhin untersuchen und kann ein zukünftiges Update veröffentlichen, um Kunden zu schützen.
Gewusst wie wissen, ob ein ungültiger Zertifikatfehler aufgetreten ist?
Wenn Internet Explorer auf ein ungültiges Zertifikat stößt, wird Benutzern eine Webseite mit der Meldung "Es gibt ein Problem mit dem Sicherheitszertifikat dieser Website". Benutzer werden aufgefordert, die Webseite zu schließen und zu der Website zu navigieren, wenn diese Warnmeldung angezeigt wird.
Benutzern wird diese Meldung nur angezeigt, wenn das Zertifikat als ungültig festgelegt ist, z. B. wenn der Benutzer die Überprüfung des Zertifikatsperrlistens (Certificate Revocation List, CRL) oder die OCSP-Überprüfung (Online Certificate Status Protocol) aktiviert hat. Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer in unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert.
Vorgeschlagene Aktionen
Für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da das KB2616676 Update automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das KB2616676 Update manuell installieren möchten, empfiehlt Microsoft Kunden, das Update sofort mithilfe der Updateverwaltungssoftware anzuwenden oder nach Updates mithilfe des Microsoft Update-Diensts zu suchen. Weitere Informationen zum manuellen Anwenden des Updates finden Sie im Microsoft Knowledge Base-Artikel 2616676.
Obwohl das KB2616676 Update das KB2607712 Update ersetzt, ist das KB2607712 Update keine Voraussetzung für das KB2616676 Update. Unabhängig davon, ob das KB2607712 Update angewendet wurde, sollten Kunden das KB2616676 Update anwenden, um das in dieser Empfehlung beschriebene Problem zu beheben. Kunden, die das KB2616676 Update anwenden, müssen das KB2607712 Update nicht anwenden.
Weitere vorgeschlagene Aktionen
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie "Schützen Ihres Computers" besuchen.
Weitere Informationen zum Sicheren im Internet finden Sie unter Microsoft Security Central.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (29. August 2011): Empfehlung veröffentlicht.
- V2.0 (29. August 2011): Überarbeitet, um fehlerhafte Empfehlungsnummer zu korrigieren.
- V3.0 (6. September 2011): Überarbeitet, um die Version eines Updates ankündigen zu können, das dieses Problem behebt.
- V4.0 (13. September 2011): Überarbeitet, um die Version des KB2616676 Updates bekanntzugeben, das das in dieser Empfehlung beschriebene Problem behebt.
- V4.1 (13. September 2011): Überarbeitet, um die Verfügbarkeit des KB2616676 Updates für die Windows Developer Preview-Version bekannt zu geben. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates in dieser Empfehlung.
- V5.0 (19. September 2011): Überarbeitet, um die erneute Aktualisierung des KB2616676-Updates bekanntzugeben. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates in dieser Empfehlung.
Gebaut am 2014-04-18T13:49:36Z-07:00