Trotz rootsupd.exe: Sperrinformationen für Stammzertifikate fehlen (w7pro64)

[w7pro64 10]

Trotz rootsupd.exe erzeugte avnotify heute gleich zweimal die Fehlermeldung "Sperrinformationen für Stammzertifikate fehlen" (Windows 7 Prof 64).

Diese Meldungen kommen erst seit ein paar Wochen und nur bei avnotify und Java update.

 

Viele Grüße

Michael

[blub 115]

Hallo Michael,

 

Unter Details im Zertifkat müsstest du einen Sperrlistenverteilpunkt finden. Dort mal hingehen und nachsehen, ob dort eine aktuelle Sperrliste liegt.

 

Dann kannst du auf deinem Client nachsehen, ob diese Sperrliste unter

C:/user/AppData/LocalLow/Microsoft/CryptnetUrlCache\Content vorhanden ist. Häng der Datei einfach ein .crl an, dann kannst du sie öffnen und z.b. die Gültigkeit ansehen.

 

Je nachdem wo es hakt, musst du sehen, wer zuständig ist.

 

Kleiner Tipp noch! Etwas Freundlichkeit im Post, wie "Hallo" oder "Morgen", erhöht die Hilfsbereitschaft der anderen Mitglieder deutlich. Wird bei dir nicht anders sein, wenn dich jemand um Hilfe bittet.

 

blub

[w7pro64 10]

ups!

 

Einen wunderschönen Guten Morgen aus Hamburg

und vielen Dank für die schnelle Antwort :)

 

Gerade passend wirft auch das Java Update eine Meldung.

Als Verteilpunkt wird genannt:

http://crl.usertrust.com/USERTrustLegacySecureServerCA.crl

Als ich diese URL im Browser öffnete wurde ich gefragt ob ich das automatische Update für diese URL aktiveren möchte was ich dann bejaht habe. Muss und wie kann ich die automatischen Updates für alle CRL aktivieren?

 

In dem Verzeichnis sind nur alphanummerische Dateien.

Nur die ohne Unterstrich im Namen lassen sich als .crl öffnen.

E6E835FBF68756BDC127B689887C65CF

F5DDD23C10ADFC584C14B5F413D80047_B6E937031D01EEBBBD0BCF0ED2C1A4FE

Wie kann ich das "USERTrustLegacySecureServerCA" in diesen Namen finden?

 

Am meisten irritierend finde ich, das das Zertifkat "USERTrust Legacy Secure Server CA" im certmgr.msc nicht in der Liste der Vertrauenswürdigen Stammzertifizierungsstellen gelistet wird.

Da ich ja regelmässig im avotify und java update Meldungen bekomme: Fehlen auf meinem System trotz rootsupd.exe immer noch einige der üblichen Stammzertifikate?

 

Viele Grüße

Michael

[blub 115]

Hallo blub,

 

Wenn deine Fehlermeldung lautet, dass die Sperrliste fehlt, dann hat dieser Fehler erstmal nichts mit der Zertifikatskette (Stammzertifikate) zu tun, sondern mit der crl.

 

Die Kette kannst du relativ leicht prüfen, indem du im Zertifikat auf den Reiter Zertifizierungspfad gehst. Gibts dort Ausrufezeichen isses schlecht :-) und es fehlt was.

Oder auf Commandline: certutil -verify.-urlfetch <pfad/zertifikatsname> . Die Ausgabe ist umfangreicher, such mal nach Errors dadrinnen.

 

In deine Stammzertifkate solltest du nur Zertifikate von vertrauenswürdigen Herstellern reinnehmen. Wer dort vertreten ist, kann sich als deine OnlineBank ausgeben, etc.

 

blub

[w7pro64 10]

Hallo blub,

 

das einzige Ausrufezeichen ist bei der Schlüsselverwendung.

 

Das certutil lieferte:

certutil -verify -urlfetch http://SVRC3SecureSunMicrosystems-MPKI-crl.verisign.com/SunMicrosystemsIncClassBUnified/LatestCRLSrv.crl

DecodeFile hat Folgendes zurückgeliefert: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. 0x8007007b (WIN32/HTTP: 123)

LoadCert(Cert) hat Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch. 0x8007007b (WIN32/HTTP: 123) zurückgegeben.

CertUtil: -verify-Befehl ist fehlgeschlagen: 0x8007007b (WIN32/HTTP: 123)

CertUtil: Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.

 

Viele Grüße

Michael

[blub 115]

Hallo,

 

certutil -verify -urlfetch <Zertifikatssname>

nicht die sperrliste(crl) , sondern den Zertifikatsnamen (.cer oder .der) .

 

Schau nochmal nach, ob du eine gültige Sperrliste lokal bei dir hast. Du musst alle diese alphanumerischen Dateien leider einzeln durchprüfen, du könntest die Dateien auch einfach löschen bz. verschieben. Die crls werden nach meiner Erfahrung (s.u.) automatisch neu angezogen bei Bedarf.

 

Ganz tief bin ich in dem Thema auch wieder nicht drinnen. Ich bin jedenfalls der Meinung, dass eine CRL immer automatisch angezogen wird, wenn sie nicht vorhanden oder abgelaufen ist. Dazu brauchst du keinen automatischen Update aktivieren.

Aber bei den tausenden von Securityfeatures von Windows7 mag das irgendwo konfigurierbar sein, was aber wiederum nicht einfach durch einen Klick auf einer Website geschehen sollte.

 

Wende dich doch mal an Startcom, die haben lt. Bild das Zertifikat ausgestellt.

 

blub

[w7pro64 10]

Halolo blub,

 

vielen Dank für deine zeitnahe Unterstützung. Mir erscheint das aber alles zu aufwändig und undurchsichtig um herauszufinden warum es bis vor ein paar Wochen alles prima lief und nun auf einmal nicht mehr.

Erfreulicherweise sind ja nur zwei Programme betroffen: Avira avnotify und Java Update.

Den Avira habe ich durch Avast ersetzt, das Java Update habe ich deaktiviert und werde im Zusammenhang mit meinem zweiwöchentlichen Backup selbst nach Updates suchen.

 

Nochmals vielen Dank und ein schönes Wochenende

Michael

[w7pro64 10]

Hallo blub,

 

vielen Dank für deine zeitnahe Unterstützung. Mir erscheint das aber alles zu aufwändig und undurchsichtig um herauszufinden warum es bis vor ein paar Wochen alles prima lief und nun auf einmal nicht mehr.

Erfreulicherweise sind ja nur zwei Programme betroffen: Avira avnotify und Java Update.

Den Avira habe ich durch Avast ersetzt, das Java Update habe ich deaktiviert und werde im Zusammenhang mit meinem zweiwöchentlichen Backup selbst nach Updates suchen.

 

Nochmals vielen Dank und ein schönes Wochenende

Michael

[Sunny61 773]

Deaktivieren ist schlecht, lieber eine aktuelle Version installieren: Java-Downloads für alle Betriebssysteme Du solltest die Offline Version wählen.