Discussion:
[Win7ult64] nicht gefundener Zertifikatsaussteller
(zu alt für eine Antwort)
Franklin Schiftan
2016-10-20 10:59:16 UTC
Permalink
Hallo miteinander,

ein Programm-Autor hat sein Programm mit einem Zertifikat
unterschrieben. In den Eigenschaften steht bei seinem Zertifikat
"Dieses Zertifikat ist gültig". Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".

Das führt letztendlich dazu, dass "keine ausreichende Informationen
vorliegen, um dieses Zertifikat zu verifizieren" und somit das
Programm nicht startet.

Ein beherzter Klick auf "Zertifikat installieren" in diesem
Egenschaften-Dialog brachte allerdings weder in certmgr.msc eine
Änderung, noch startete das Programm danach.

Was könnte ich jetzt noch tun, damit mein Rechner die Gültigkeit der
Unterschrift als bestätigt ansieht?
--
..... und tschüss

Franklin
Stefan Kanthak
2016-10-20 11:27:12 UTC
Permalink
Post by Franklin Schiftan
Hallo miteinander,
ein Programm-Autor hat sein Programm mit einem Zertifikat
unterschrieben. In den Eigenschaften steht bei seinem Zertifikat
"Dieses Zertifikat ist gültig".
Wirklich?
Bei originalen Windows 7-Installation wird "Die digitale Signatur ist
gueltig." angezeigt...
Woher hast Du Deine Raubkopie?
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!

Eine digitale Signatur ist dann und nur dann "gueltig", wenn das X.509-
Zertifikat des Signierers "gueltig" ist, d.h. eine Kette von gueltigen
X.509-Zertifikaten bis zu einem als vertrauenswuerdig definierten bzw.
bekannten Wurzel-Zertifikat existiert.

Laut Deinem ersten Satz konnte Windows diese Kette aber verfolgen!
Post by Franklin Schiftan
Das führt letztendlich dazu, dass "keine ausreichende Informationen
vorliegen, um dieses Zertifikat zu verifizieren" und somit das
Programm nicht startet.
Ein beherzter Klick auf "Zertifikat installieren" in diesem
Egenschaften-Dialog brachte allerdings weder in certmgr.msc eine
Änderung, noch startete das Programm danach.
Dummerweise fehlt nicht DIESES Zertifikat, sondern das Zertifikat des
Ausstellers!
Post by Franklin Schiftan
Was könnte ich jetzt noch tun, damit mein Rechner die Gültigkeit der
Unterschrift als bestätigt ansieht?
Zuerst: Deine Verwirrung beseitigen!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Franklin Schiftan
2016-10-20 13:50:01 UTC
Permalink
Post by Stefan Kanthak
Post by Franklin Schiftan
ein Programm-Autor hat sein Programm mit einem Zertifikat
unterschrieben. In den Eigenschaften steht bei seinem Zertifikat
"Dieses Zertifikat ist gültig".
Wirklich?
Ja, zwei Klicks weiter ...
Post by Stefan Kanthak
Bei originalen Windows 7-Installation wird "Die digitale Signatur ist
gueltig." angezeigt...
Jetzt hier bei mir in dem Fenster "Details der digitalen Signatur" auch.
Aber ich war wie oben gesagt zwei Klicks weiter, nach Klick auf
'Zertifikate anzeigen' und dort in der Lasche Zertifizierungspfade
wird unten - sicher auch bei Dir - angezeigt "Dieses Zertifikat ist
gültig".
Post by Stefan Kanthak
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.

Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>
funktioniert jetzt besagtes Programm wie erwartet.

Danke dennoch für Deine schnelle Antwort.
Post by Stefan Kanthak
Stefan
--
..... und tschüss

Franklin
Alfred Schröder
2016-10-20 14:29:00 UTC
Permalink
Post by Franklin Schiftan
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/e
n/rootsupd.exe> funktioniert jetzt besagtes Programm wie erwartet.
Wie kann das denn sein, die darin enthaltenen Zertifikate sind vom
19.04.2013, also 3,5 Jahre alt.

Gruss

Alex
Franklin Schiftan
2016-10-20 14:52:43 UTC
Permalink
Post by Alfred Schröder
Post by Franklin Schiftan
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/e
n/rootsupd.exe> funktioniert jetzt besagtes Programm wie erwartet.
Wie kann das denn sein, die darin enthaltenen Zertifikate sind vom
19.04.2013, also 3,5 Jahre alt.
Keine Ahnung, warum sich die Zertifikate hier solange nicht
upgedatet haben ... bislang hab ich davon ansonsten nichts gemerkt.
Post by Alfred Schröder
Alex
--
..... und tschüss

Franklin
Stefan Kanthak
2016-10-20 15:08:54 UTC
Permalink
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
ein Programm-Autor hat sein Programm mit einem Zertifikat
unterschrieben. In den Eigenschaften steht bei seinem Zertifikat
"Dieses Zertifikat ist gültig".
Wirklich?
Ja, zwei Klicks weiter ...
Dummerweise hat/enthaelt ein Programm aber kein Zertifikat, sondern
eine (Authenticode-)Signatur, die als PKCS-BLOB abgelegt ist (genau wie
bei S/MIME-signierten Mails).
Diese KANN, muss aber nicht, alle bei ihrer Generierung benutzten X.509-
Zertifikate enthalten. Ihre Wurzelzertifikate muessen in Windows
"trusted root"-Zertifikatsspeicher stehen, d.h. diese werden NICHT aus
der Signatur genommen.
Post by Franklin Schiftan
Post by Stefan Kanthak
Bei originalen Windows 7-Installation wird "Die digitale Signatur ist
gueltig." angezeigt...
Jetzt hier bei mir in dem Fenster "Details der digitalen Signatur" auch.
Aber ich war wie oben gesagt zwei Klicks weiter, nach Klick auf
'Zertifikate anzeigen' und dort in der Lasche Zertifizierungspfade
wird unten - sicher auch bei Dir - angezeigt "Dieses Zertifikat ist
gültig".
Wenn das Wurzelzertifikat fehlt, dann kann WEDER die (Authenticode-)
Signatur NOCH eines der Zwischenzertifikate gueltig gewesen sein!
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>
AUTSCH!
Dieses DrexDinx (siehe <https://support.microsoft.com/en-us/kb/931125>) ist

0. NICHT fuer Windows 7 geeignet/vorgesehen!

1. VOELLIG veraltet (es stammt vom 12.11.2014; siehe dazu auch
<https://support.microsoft.com/en-us/kb/3004394> und
<https://support.microsoft.com/en-us/kb/3024777>)!

2. UNSICHER (siehe <http://seclists.org/fulldisclosure/2016/Jan/48>,
<http://seclists.org/fulldisclosure/2013/Oct/5>,
<http://seclists.org/fulldisclosure/2015/Sep/21> und ...)!

Fuer Windows Vista und neuere stellt Microsoft diese Wurzelzertifikate unter
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
alias
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
bereit!

Siehe <https://technet.microsoft.com/en-us/library/cc733922.aspx> sowie
<https://support.microsoft.com/en-us/kb/2677070> und
<https://support.microsoft.com/en-us/kb/2813430>

Siehe weiterhin <https://support.microsoft.com/en-us/kb/2801679>
Post by Franklin Schiftan
funktioniert jetzt besagtes Programm wie erwartet.
Dafuer hast Du mit dem VOELLIG veralteten ROOTSUPD.EXE Anderes kap0tt
gemacht!

wehret den Anfaengern!
Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Franklin Schiftan
2016-10-20 15:54:54 UTC
Permalink
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>
AUTSCH!
Dieses DrexDinx (siehe <https://support.microsoft.com/en-us/kb/931125>) ist
0. NICHT fuer Windows 7 geeignet/vorgesehen!
Oha ... bei der Ausführung kam leider kein entsprechender Hinweis,
sonst hätte ich es vielleicht noch abgebrochen ...
Post by Stefan Kanthak
Fuer Windows Vista und neuere stellt Microsoft diese Wurzelzertifikate unter
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
alias
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
bereit!
Danke für die Links.
Nur wie binde ich dann jetzt diese CAB-Datei (oder die darin
enthaltene STL-Datei) in mein Windows ein?
Post by Stefan Kanthak
Post by Franklin Schiftan
funktioniert jetzt besagtes Programm wie erwartet.
Dafuer hast Du mit dem VOELLIG veralteten ROOTSUPD.EXE Anderes kap0tt
gemacht!
Oh je ... kann ich das irgendwie einfach wieder rückgängig machen?
Die möglicherweise darin enthaltenen unerwünschten Zertifikate (wie
kann man die rauskriegen?), die jetzt wohl alle in den
Drittanbieter-Stammzertifizierungsstellen auftauchen, wieder
irgendwie (wie?) löschen oder so?
Post by Stefan Kanthak
wehret den Anfaengern!
Tja, da hab ich wohl zu voreilig auf die erhaltenen Tipps vertraut
und mich schon gefreut, dass es mit dem Programmstart anschließend
so schön funktioniert hat ... :-(
Post by Stefan Kanthak
Stefan
[
--
..... und tschüss

Franklin
Stefan Kanthak
2016-10-20 16:44:26 UTC
Permalink
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>
AUTSCH!
Dieses DrexDinx (siehe <https://support.microsoft.com/en-us/kb/931125>) ist
0. NICHT fuer Windows 7 geeignet/vorgesehen!
Oha ... bei der Ausführung kam leider kein entsprechender Hinweis,
Welcher Eckschperte hat Dir denn die von Dir angegebene URL empfohlen?
Post by Franklin Schiftan
sonst hätte ich es vielleicht noch abgebrochen ...
Erst lesen, dann klicken!
Post by Franklin Schiftan
Post by Stefan Kanthak
Fuer Windows Vista und neuere stellt Microsoft diese Wurzelzertifikate unter
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
alias
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
bereit!
Danke für die Links.
Diese URLs haettest Du seit VIELEN Jahren sowohl in der Ereignisanzeige
von Windows XP und neueren oder %SystemRoot%\WindowsUpdate.log finden
koennen!
Post by Franklin Schiftan
Nur wie binde ich dann jetzt diese CAB-Datei (oder die darin
enthaltene STL-Datei) in mein Windows ein?
Schon Konfuz^Wder Kommandoprozessor von Windows XP sagt:

ASSOC .stl=stlfile
FTYPE stlfile=%SystemRoot%\System32\RUNDLL32.exe %SystemRoot%\System32\CRYPTEXT.dll,CryptExtOpenCTL %1
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
funktioniert jetzt besagtes Programm wie erwartet.
Dafuer hast Du mit dem VOELLIG veralteten ROOTSUPD.EXE Anderes kap0tt
gemacht!
Oh je ... kann ich das irgendwie einfach wieder rückgängig machen?
(D)eine Systemsicherung zurueckspielen...?
Post by Franklin Schiftan
Die möglicherweise darin enthaltenen unerwünschten Zertifikate (wie
kann man die rauskriegen?),
Wer (hat) definiert, was unerwuenscht ist?
Post by Franklin Schiftan
die jetzt wohl alle in den Drittanbieter-Stammzertifizierungsstellen
auftauchen,
Wie kommst Du darauf? Bzw.: wieso nur dort?
Post by Franklin Schiftan
wieder irgendwie (wie?) löschen oder so?
Start->Ausfuehren CERTMGR.msc

JFTR: Microsoft loescht mit Updates selbstverstaendlich keine Zertifikate,
sondern importiert diese nur in den Speicher fuer NICHT-vertrauens-
wuerdige Zertifikate, der Vorrang vor allen anderen hat. UDIAGS!
Post by Franklin Schiftan
Post by Stefan Kanthak
wehret den Anfaengern!
Tja, da hab ich wohl zu voreilig auf die erhaltenen Tipps vertraut
und mich schon gefreut, dass es mit dem Programmstart anschließend
so schön funktioniert hat ... :-(
"Zu Risiken und Nebenwirkungen fragen Sie Ihren Arz^H^Hdministrator!"

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Franklin Schiftan
2016-10-20 20:40:11 UTC
Permalink
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Dann ist die von Dir missbrauchte Windows-Installation durcheinander!
Nun ja, es fehlte lediglich das entsprechende GlobalSign
Root-Zertifikat, dann konnte auch der Rest bestätigt werden.
Nach Ausführung von
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>
AUTSCH!
Dieses DrexDinx (siehe <https://support.microsoft.com/en-us/kb/931125>) ist
0. NICHT fuer Windows 7 geeignet/vorgesehen!
Oha ... bei der Ausführung kam leider kein entsprechender Hinweis,
Welcher Eckschperte hat Dir denn die von Dir angegebene URL empfohlen?
Nun ja, der Programm-Autor hatte es ergoogelt ... parallel dazu
hatte auch ich einige Beiträge mit entsprechenden Links gefunden.
Post by Stefan Kanthak
Post by Franklin Schiftan
sonst hätte ich es vielleicht noch abgebrochen ...
Erst lesen, dann klicken!
Klar, bloß bei obigem Link kam halt gleich/nur die Exe ...
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Fuer Windows Vista und neuere stellt Microsoft diese Wurzelzertifikate unter
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
alias
<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
bereit!
Danke für die Links.
Diese URLs haettest Du seit VIELEN Jahren sowohl in der Ereignisanzeige
von Windows XP und neueren oder %SystemRoot%\WindowsUpdate.log finden
koennen!
Ah ja, ich gebe zu, dass ich in beides üblicherweise, wenn ansonsten
alles ohne Probleme läuft, nicht standardmäßig reinschaue.
Post by Stefan Kanthak
Post by Franklin Schiftan
Nur wie binde ich dann jetzt diese CAB-Datei (oder die darin
enthaltene STL-Datei) in mein Windows ein?
ASSOC .stl=stlfile
FTYPE stlfile=%SystemRoot%\System32\RUNDLL32.exe %SystemRoot%\System32\CRYPTEXT.dll,CryptExtOpenCTL %1
Hmm, nach Ausführung dieses Befehls in einer administrativen cmd
steht im anschließend aufgehenden Zertifikatsvertrauensliste-Fenster:
Diese Zertifikatsvertrauensliste ist ungültig. Das Zertifikat, das
diese Liste signiert hat, ist ungültig.
?-|
Und nun?
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
funktioniert jetzt besagtes Programm wie erwartet.
Dafuer hast Du mit dem VOELLIG veralteten ROOTSUPD.EXE Anderes kap0tt
gemacht!
Oh je ... kann ich das irgendwie einfach wieder rückgängig machen?
(D)eine Systemsicherung zurueckspielen...?
Klar, könnte ich machen, dann müsste ich halt einiges andere, was
ich den heutigen Tag über installiert und upgedatet habe (und das
war 'ne ganze Menge), eben auch noch mal neu machen ... deshalb
dachte ich ja, es ginge vielleicht irgendwie einfacher ...
Post by Stefan Kanthak
Post by Franklin Schiftan
Die möglicherweise darin enthaltenen unerwünschten Zertifikate (wie
kann man die rauskriegen?),
Wer (hat) definiert, was unerwuenscht ist?
Das hatte ich aus Deinem 'anderes kaputt gemacht' interpretiert. Was
sollte dadurch sonst passiert sein, außer dass jetzt evtl.
unerwünschte Zertifikate im Zertifikatsspeicher sind?
Post by Stefan Kanthak
Post by Franklin Schiftan
die jetzt wohl alle in den Drittanbieter-Stammzertifizierungsstellen
auftauchen,
Wie kommst Du darauf? Bzw.: wieso nur dort?
Das weiß ich in der Tat nicht genau - nur dort ist mir halt der
enorme Zertifikatszuwachs aufgefallen.

Und Du hast (natürlich) Recht: Wenn ich certmgr.msc als Admin
ausführe, dann sehe ich diese Zertifikate tatsächlich auch alle noch
unter 'vertrauenswürdige Stammzertifizierungsstellen'.
Post by Stefan Kanthak
Post by Franklin Schiftan
wieder irgendwie (wie?) löschen oder so?
Start->Ausfuehren CERTMGR.msc
O.k., bei Ausführung als Admin wird mir dort auch ein Löschen
angeboten, vorher, als normaler Benutzer hatte ich das dort nämlich
schon vergeblich gesucht. Aber das hilft mir natürlich nur bedingt,
wenn ich nicht weiß, welche Zertifikate dort jetzt durch das
'DrexDinx' reingekommen sind.
Post by Stefan Kanthak
JFTR: Microsoft loescht mit Updates selbstverstaendlich keine Zertifikate,
Warum eigentlich nicht? Würde doch den gleichen Effekt haben, oder
nicht?
Post by Stefan Kanthak
sondern importiert diese nur in den Speicher fuer NICHT-vertrauens-
wuerdige Zertifikate, der Vorrang vor allen anderen hat. UDIAGS!
Wenn ich das jetzt richtig verstanden habe, bräuchte ich mir dann ja
eigentlich gar keine Sorgen machen, dass möglicherweise irgendwelche
unerwünschten Zertifikate auf der Kiste sind, weil die dann ja im
Zweifelsfall von MS schon bei den Nicht-vertrauenswürdigen
Zertifikaten importiert wurden, oder?
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
wehret den Anfaengern!
Tja, da hab ich wohl zu voreilig auf die erhaltenen Tipps vertraut
und mich schon gefreut, dass es mit dem Programmstart anschließend
so schön funktioniert hat ... :-(
"Zu Risiken und Nebenwirkungen fragen Sie Ihren Arz^H^Hdministrator!"
Danke, Stefan, für Deine Erläuterungen.
Post by Stefan Kanthak
Stefan
[
--
..... und tschüss

Franklin
Stefan Kanthak
2016-10-21 08:14:32 UTC
Permalink
[<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>]
Post by Franklin Schiftan
Post by Stefan Kanthak
Welcher Eckschperte hat Dir denn die von Dir angegebene URL empfohlen?
Nun ja, der Programm-Autor hatte es ergoogelt ...
AUTSCH!
Der Autor sollte seiner Ahnungslosigkeit abhelfen!
Post by Franklin Schiftan
parallel dazu hatte auch ich einige Beiträge mit entsprechenden Links
gefunden.
9x.y% dieser Funde sind GROSSER MIST, verzapft von Ahnungslosen, die typischerweise
ohne Sinn und Verstand an Symptomen herumdocktern, statt eine Ursache festzustellen!
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
sonst hätte ich es vielleicht noch abgebrochen ...
Erst lesen, dann klicken!
Klar, bloß bei obigem Link kam halt gleich/nur die Exe ...
Links zu MSKB-Artikeln hatte ich Dir gepostet.

[...]
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Nur wie binde ich dann jetzt diese CAB-Datei (oder die darin
enthaltene STL-Datei) in mein Windows ein?
ASSOC .stl=stlfile
FTYPE stlfile=%SystemRoot%\System32\RUNDLL32.exe %SystemRoot%\System32\CRYPTEXT.dll,CryptExtOpenCTL %1
Hmm, nach Ausführung dieses Befehls in einer administrativen cmd
Diese Zertifikatsvertrauensliste ist ungültig. Das Zertifikat, das
diese Liste signiert hat, ist ungültig.
?-|
Und nun?
Mit Rechtsklick->Eigenschaften:Digitale Signaturen nachsehen, welches
Zertifikat aus welchem Grund als ungueltig betrachtet wird.

[...]
Post by Franklin Schiftan
Post by Stefan Kanthak
JFTR: Microsoft loescht mit Updates selbstverstaendlich keine Zertifikate,
Warum eigentlich nicht? Würde doch den gleichen Effekt haben, oder
nicht?
Selbstverstaendlich NICHT.
Ein geloeschtes Zertifikat kann jederzeit wieder importiert werden.
Post by Franklin Schiftan
Post by Stefan Kanthak
sondern importiert diese nur in den Speicher fuer NICHT-vertrauens-
wuerdige Zertifikate, der Vorrang vor allen anderen hat. UDIAGS!
Wenn ich das jetzt richtig verstanden habe, bräuchte ich mir dann ja
eigentlich gar keine Sorgen machen, dass möglicherweise irgendwelche
unerwünschten Zertifikate auf der Kiste sind, weil die dann ja im
Zweifelsfall von MS schon bei den Nicht-vertrauenswürdigen
Zertifikaten importiert wurden, oder?
Das haengt von Deiner Definition von "unerwuenscht" ab (weshalb ich
danach fragte), sowie ob Du, Dein Administrator oder Microsoft
unerwuenschten Zertifikaten das Vertrauen durch Loeschen (falsch, s.o.)
oder durch Ablage unter "Nicht-vertrauenswuerdig" (richtig) entzogen
habt!

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Franklin Schiftan
2016-10-21 08:42:12 UTC
Permalink
Post by Stefan Kanthak
[<http://download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/rootsupd.exe>]
Post by Franklin Schiftan
Post by Stefan Kanthak
Welcher Eckschperte hat Dir denn die von Dir angegebene URL
empfohlen?
Nun ja, der Programm-Autor hatte es ergoogelt ...
AUTSCH! Der Autor sollte seiner Ahnungslosigkeit abhelfen!
Post by Franklin Schiftan
parallel dazu hatte auch ich einige Beiträge mit entsprechenden
Links gefunden.
9x.y% dieser Funde sind GROSSER MIST, verzapft von Ahnungslosen,
die typischerweise ohne Sinn und Verstand an Symptomen
herumdocktern, statt eine Ursache festzustellen!
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
sonst hätte ich es vielleicht noch abgebrochen ...
Erst lesen, dann klicken!
Klar, bloß bei obigem Link kam halt gleich/nur die Exe ...
Links zu MSKB-Artikeln hatte ich Dir gepostet.
Ja, sicher ... nur da hatte ich ja dummerweise diese Exe schon
ausgeführt.
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
Post by Franklin Schiftan
Nur wie binde ich dann jetzt diese CAB-Datei (oder die
darin enthaltene STL-Datei) in mein Windows ein?
ASSOC .stl=stlfile FTYPE
stlfile=%SystemRoot%\System32\RUNDLL32.exe
%SystemRoot%\System32\CRYPTEXT.dll,CryptExtOpenCTL %1
Hmm, nach Ausführung dieses Befehls in einer administrativen
cmd steht im anschließend aufgehenden
Zertifikatsvertrauensliste-Fenster: Diese
Zertifikatsvertrauensliste ist ungültig. Das Zertifikat, das
diese Liste signiert hat, ist ungültig. ?-| Und nun?
Mit Rechtsklick->Eigenschaften:Digitale Signaturen nachsehen,
welches Zertifikat aus welchem Grund als ungueltig betrachtet
wird.
Beim Microsoft Certificate Trust List Publisher steht unten "Dieses
Zertifikat ist für den ausgewählten Zweck nicht gültig."

Aber nach einem Rechtsklick auf die STL-Datei im Datei-Manager und
Auswahl von 'Zertifikatsvertrauensliste importieren' erhielt ich
eine Erfolgsmeldung. Ich kann allerdings nicht erkennen, dass sich
daraufhin was im certmgr geändert hätte ... zumindest die
Zertifikatsanzahl ist mit 364 Vertrauenswürdigen Stammzertifikaten
gleich geblieben.
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
JFTR: Microsoft loescht mit Updates selbstverstaendlich keine Zertifikate,
Warum eigentlich nicht? Würde doch den gleichen Effekt haben,
oder nicht?
Selbstverstaendlich NICHT. Ein geloeschtes Zertifikat kann
jederzeit wieder importiert werden.
Ah, ja, natürlich, danke.
Post by Stefan Kanthak
Post by Franklin Schiftan
Post by Stefan Kanthak
sondern importiert diese nur in den Speicher fuer
NICHT-vertrauens- wuerdige Zertifikate, der Vorrang vor allen
anderen hat. UDIAGS!
Wenn ich das jetzt richtig verstanden habe, bräuchte ich mir
dann ja eigentlich gar keine Sorgen machen, dass möglicherweise
irgendwelche unerwünschten Zertifikate auf der Kiste sind, weil
die dann ja im Zweifelsfall von MS schon bei den
Nicht-vertrauenswürdigen Zertifikaten importiert wurden, oder?
Das haengt von Deiner Definition von "unerwuenscht" ab (weshalb
ich danach fragte),
Die sollte sich eigentlich mit der von MS decken, wenn sie ein
Zertifikat z.B. als UNTRUSTED oder FRAUDULENT einstufen.
Post by Stefan Kanthak
sowie ob Du, Dein Administrator oder Microsoft unerwuenschten
Zertifikaten das Vertrauen durch Loeschen (falsch, s.o.) oder
durch Ablage unter "Nicht-vertrauenswuerdig" (richtig) entzogen
habt!
BTW: Wieviele 'Nicht vertrauenswürdige Zertifikate' sollten da
aktuell eigentlich auftauchen? Bei mir stehen da momentan 27, nach
anderen Berichten im Netz haben manche User dort aber sogar über 50
zu stehen.
Post by Stefan Kanthak
Stefan [
--
..... und tschüss

Franklin
Stefan Kanthak
2016-10-21 11:04:56 UTC
Permalink
[<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>]
Post by Franklin Schiftan
Beim Microsoft Certificate Trust List Publisher steht unten "Dieses
Zertifikat ist für den ausgewählten Zweck nicht gültig."
Soviel zu "Trustworthy Computing" bei Microsoft.-(
JFTR: siehe auch <https://support.microsoft.com/en-us/kb/2328240>

Dummerweise fehlt dort (wie so oft bei diesem Saftladen) die Angabe,
welches der "ausgewaehlte" Zweck ist.
Besorg Dir einige Blaetter DIN-A0, schreibe zwei Fehlermeldungen mit
je einem Buchstaben pro Blatt, beschwere die beiden Stapel mit einigen
Megatonnen und schick sie nach Redmond.
Post by Franklin Schiftan
Aber nach einem Rechtsklick auf die STL-Datei im Datei-Manager und
Auswahl von 'Zertifikatsvertrauensliste importieren' erhielt ich
eine Erfolgsmeldung.
Das ist das erwartete Ergebnis (ich wollte Dir vorher nur Microsofts
uebliche Schlamperei zeigen).
Post by Franklin Schiftan
Ich kann allerdings nicht erkennen, dass sich daraufhin was im
certmgr geändert hätte ... zumindest die Zertifikatsanzahl ist
mit 364 Vertrauenswürdigen Stammzertifikaten gleich geblieben.
D.h. nur, dass die "authroot.stl" kein bisher nicht vorhandenes
Zertifikat importiert hat.

[...]
Post by Franklin Schiftan
BTW: Wieviele 'Nicht vertrauenswürdige Zertifikate' sollten da
aktuell eigentlich auftauchen?
Mindestens die in der in
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab>
enthaltenen disallowedcert.stl enthaltenen Zertifikate.
Post by Franklin Schiftan
Bei mir stehen da momentan 27, nach anderen Berichten im Netz haben
manche User dort aber sogar über 50 zu stehen.
Hier sind's 67.

Stefan
[
--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)


--- news://freenews.netfront.net/ - complaints: ***@netfront.net ---
Franklin Schiftan
2016-10-21 11:50:05 UTC
Permalink
Post by Stefan Kanthak
[<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>]
Post by Franklin Schiftan
Beim Microsoft Certificate Trust List Publisher steht unten "Dieses
Zertifikat ist für den ausgewählten Zweck nicht gültig."
Soviel zu "Trustworthy Computing" bei Microsoft.-(
JFTR: siehe auch <https://support.microsoft.com/en-us/kb/2328240>
Dummerweise fehlt dort (wie so oft bei diesem Saftladen) die Angabe,
welches der "ausgewaehlte" Zweck ist.
Besorg Dir einige Blaetter DIN-A0, schreibe zwei Fehlermeldungen mit
je einem Buchstaben pro Blatt, beschwere die beiden Stapel mit einigen
Megatonnen und schick sie nach Redmond.
Ob das hilft ... ;-)
Post by Stefan Kanthak
Post by Franklin Schiftan
Aber nach einem Rechtsklick auf die STL-Datei im Datei-Manager und
Auswahl von 'Zertifikatsvertrauensliste importieren' erhielt ich
eine Erfolgsmeldung.
Das ist das erwartete Ergebnis (ich wollte Dir vorher nur Microsofts
uebliche Schlamperei zeigen).
Post by Franklin Schiftan
Ich kann allerdings nicht erkennen, dass sich daraufhin was im
certmgr geändert hätte ... zumindest die Zertifikatsanzahl ist
mit 364 Vertrauenswürdigen Stammzertifikaten gleich geblieben.
D.h. nur, dass die "authroot.stl" kein bisher nicht vorhandenes
Zertifikat importiert hat.
Möglicherweise aber vielleicht auch gar nichts ....?
Post by Stefan Kanthak
Post by Franklin Schiftan
BTW: Wieviele 'Nicht vertrauenswürdige Zertifikate' sollten da
aktuell eigentlich auftauchen?
Mindestens die in der in
<http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab>
enthaltenen disallowedcert.stl enthaltenen Zertifikate.
Post by Franklin Schiftan
Bei mir stehen da momentan 27, nach anderen Berichten im Netz haben
manche User dort aber sogar über 50 zu stehen.
Hier sind's 67.
Hmm, meine 27 werden aber auch nicht mehr, nachdem ich
disallowedcert.stl in den nichtvertrauenswürdigen Speicher
importiert hab.

Hmmm, daher meine Vermutung, dass - nicht nur hier, sondern
vielleicht auch schon oben bei der anderen stl-Datei - trotz der
Erfolgsmeldung tatsächlich wohl eher weniger bis gar nichts passiert
ist.
Post by Stefan Kanthak
Stefan
[
--
..... und tschüss

Franklin
Jörg Burzeja
2016-10-20 18:19:43 UTC
Permalink
Post by Franklin Schiftan
Hallo miteinander,
ein Programm-Autor hat sein Programm mit einem Zertifikat
unterschrieben. In den Eigenschaften steht bei seinem Zertifikat
"Dieses Zertifikat ist gültig". Beim darüber liegenden Zertifikat im
Zertifizierungspfad, GlobalSign CodeSigning CA - SHA256 - G3, steht
allerdings "Der Aussteller dieses Zertifikats wurde nicht gefunden.".
Das führt letztendlich dazu, dass "keine ausreichende Informationen
vorliegen, um dieses Zertifikat zu verifizieren" und somit das
Programm nicht startet.
Ein beherzter Klick auf "Zertifikat installieren" in diesem
Egenschaften-Dialog brachte allerdings weder in certmgr.msc eine
Änderung, noch startete das Programm danach.
Was könnte ich jetzt noch tun, damit mein Rechner die Gültigkeit der
Unterschrift als bestätigt ansieht?
Das öffentliche Zertifikat muss unter vertrauenswürdige Herausgeber liegen.

https://technet.microsoft.com/de-de/library/cc733026(v=ws.11).aspx

Ggfs. musst Du es verschieben.

Stadt, Ausführen, eingeben: c:\windows\system32\certmgr.msc

Du kannst es auch von der Stelle direkt importieren.
Loading...