Dez 192012
 
  • Betrifft: SSL-Verbindungen auf Microsoft Windows.
  • System: Microsoft Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012
  • Problem: In der Ereignisanzeige findet man mehrfach Warnungen im Zusammenhang mit dem Security-Provider Schannel. In diesem wird auf eine zu hohe Anzahl an Zertifizierungsstellen hingewiesen. Zeitweise bemerkt man Probleme (Abbrüche, lange Zeitdauer) bei der Nutzung von verschlüsselten Verbindungen.

Hintergrund

Bei dem Microsoft Patchday im Dezember 2012 hat Microsoft ein neues Update mit neuen Stamm-Zertifizierungsstellen veröffentlicht. Dadurch wird die Anzahl enorm in die Höhe gesetzt.

Im Anschluss daran kann man meist eigenartige Verbindungsabbrüche oder andere Phänomene mit SSL-Verbindungen entdecken. Immer wieder kann bei einem solchen Verbindungsversuch folgende Warnung in der Ereignisanzeige entdeckt werden:

eventlog_schannel_36885

Deutsch English
Quelle: Schannel Source: Schannel
Ereignis-ID: 36885 Event-ID: 36885
Bei der Nachfrage der Clientauthentifizierung sendet dieser Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Der Client verwendet diese Liste, um ein Clientzertifikat auszuwählen, das für den Server vertrauenswürdig ist. Momentan vertraut dieser Server sehr vielen Zertifizierungsstellen, sodass die Liste zu lang ist. Die Liste wurde abgeschnitten. Der Administrator dieses Computer sollte die für Clientauthentifizierung vertrauenswürdigen Zertifizierungsstellen überprüfen und diejenigen entfernen, die nicht unbedingt als vertrauenswürdig eingestuft werden müssen. When asking for client authentication, this server sends a list of trusted certificate authorities to the client. The client uses this list to choose a client certificate that is trusted by the server. Currently, this server trusts so many certificate authorities that the list has grown too long. This list has thus been truncated. The administrator of this machine should review the certificate authorities trusted for client authentication and remove those that do not really need to be trusted.

 

Behebung

Für die Abhilfe gibt es zwei Möglichkeiten. Entweder man verringert die Anzahl der vertrauenswürdigen Stamm-Zertifizierungsstellen oder man deaktiviert die Aussendung dieser. Beides hat seine eigenen Nachteile.

 

1. Variante: Entfernen unnötiger Zertifizierungsstellen

Zuerst die Microsoft Management Console via "mmc" starten und über "Datei" – "Snap-In hinzufügen/entfernen…" das Snap-In "Zertifikate" für das Computerkonto hinzufügen.

vertrauenswuerdige_stammzertifizierungsstellen

Dann geht es weiter zu den vertrauenswürdigen Stammzertifizierungsstellen. Nach dem Patchday wurde diese Liste enorm erhöht und exakt darum kommt es nun zu dem Problem. Man könnte also zuerst alle Zertifizierungsstellen löschen, die bereits abgelaufen sind. Dazu einfach nach "Ablauf" sortieren. Das wird aber in den wenigsten Fällen reichen. Daher ist die Wahl der weiteren zu löschenden Zertifizierungsstellen recht schwierig…

 

Wenn man ausreichend gelöscht hat, dann sollte die Meldung nicht mehr erscheinen. Ein Neustart ist nicht notwendig.

 

2. Variante: Deaktivieren der Aussendung der Liste aller vertrauenswürdiger Zertifizierungsstellen

Der notwendige Registrierungseintrag ist bereits älter und in der KB 933430 erwähnt. Es geht dort zwar um etwas komplett anderes, jedoch hilft die dort beschriebene Methode 3 auch hier und das ebenso bei den aktuellen Betriebssystemen.

regedit_schannel_sendtrustedissuerlist

Im folgenden Pfad…

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

…muss der REG_DWORD Eintrag mit dem Namen "SendTrustedIssuerList" erstellt und auf "0" festgelegt werden.

 

Die Änderung wird sofort übernommen. Ein Neustart ist nicht notwendig.

weitere relevante Beiträge...

  Eine Antwort zu “Liste der vertrauenswürdigen Stamm-Zertifizierungsstellen ist zu lang”

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)