Missverständliche Warnungen für Downloads von SHA1-signierten Dateien durch Internet Explorer und Microsoft Edge-Browser

Seit dem 1. Januar 2016 wurde von Microsoft über Windows Update eine Änderung in der Behandlung von signierten Executables eingeführt. Mit der Folge, dass für Downloads mancher älterer Dateien durch den Internet Explorer und Microsoft Edge missverständliche Warnungen ausgegeben werden.

Für Dateien, die mit dem Algorithmus SHA1 signiert wurden, deren Signatur aber keinen Zeitstempel oder einen solchen mit Datum nach dem 31.12.2015 enthält, wird die folgende Meldung für einen Download ausgegeben (hier am Beispiel der alten gpg4o-Version 3.4.1):

Browser Meldung

Browser Meldung

Der Hinweis im Browser ist in diesem Fall sehr irreführend, da auf eine angeblich defekte Signatur hingewiesen wird. Die Signatur ist jedoch tatsächlich nur veraltet, wird von Microsoft aber seit Anfang 2016 (nach Aktualisierung des Betriebssystems mit Windows Update) anders behandelt als zuvor.

Smartscreen-Warnungen

Bei aktivem „Smartscreen“-Schutz zeigen Windows 8, 8.1 und 10 gegebenenfalls nach Klick auf „Ausführen“ folgende Warnhinweise an:

03_WindowsMeldungWeitereInformation

Warnung durch Windows Smartscreen

 

Windows Meldung

Windows Scmartscreen nach Klick auf „Weitere Informationen“

Technische Details

Details zu den Änderungen in der Behandlung von Authenticode-Signaturen und Zeitstempeln hat Microsoft unter folgender Adresse veröffentlicht:

Windows Enforcement of Authenticode Code Signing and Timestamping

Manuelle Überprüfung der Signatur

Wenn Sie überprüfen möchten, ob eine Datei wirklich nicht oder nicht gültig signiert wurde oder aber nur eine alte Signatur enthält, ist dies auf einfache Art möglich. Navigieren Sie dazu nach einem Download und Anzeige der ersten Warnung zum Ordner, in dem die Datei gespeichert wurde (standardmäßig im „Downloads“-Ordner in Explorer, erreichbar auch durch Klick auf „Ordner öffnen“ im Downloads-Popup).

In der Dateiliste können Sie das Kontextmenü durch einen Rechtsklick auf die heruntergeladene Datei erreichen:

Rechtsklick Datei

Rechtsklick Datei

Nach Klick auf „Eigenschaften“ erhält man das folgende Fenster:

06_EigenschaftenÜbersicht

Eigenschaften Übersicht

Unter „Digitale Signaturen“ kann die Signatur der Datei und das zugehörige Zertifikat eingesehen werden. Im Fall der alten gpg4o-Version 3.4.1 sieht dies dann so aus:

Signaturen Übersicht

Signaturen Übersicht

Nach Klick auf „Details“ werden weitere Informationen zur digitalen Signatur sichtbar. Zu beachten ist in dieser Ansicht, dass der Satz „Die digitale Signatur ist gültig.“ tatsächlich angezeigt wird.

Signaturen Details

Signaturen Details

Mit Klick auf „Zertifikat anzeigen“ lassen sich weitere Details des Zertifikats überprüfen.

Zertifikat

Zertifikat

Unter „Details“ findet sich auch (im unteren Bereich der Liste) der Fingerabdruck, der für bisher durch Giegerich & Partner signierte Dateien folgende Werte enthält:

‎99 e0 20 5e c5 73 0f bc a8 c7 e3 58 a4 82 c3 8c d0 bc 03 8f

Zertifikat Fingerabdruck

Zertifikat bisheriger Fingerabdruck

Zukünftig: SHA256-Zertifikate und Signaturen mit SHA256-Algorithmus

Neu von Giegerich & Partner veröffentlichte Dateien werden ab sofort ein neues SHA256-Zertifkat verwenden, der Fingerabdruck wird dann folgende Werte enthalten:

1d 72 3a 5e c1 34 03 3a 6d c0 f9 0b dc 24 8b 9e 8b 3d 98 af

Zertifikat Fingerabdruck Neu

Zertifikat neuer Fingerabdruck

Für neue, unter Verwendung des SHA256-Algorithmus signierte und zeitgestempelte Dateien werden  natürlich auch keine missverständlichen Warnungen erzeugt.

 

Kommentare

Ihr Kommentar

* Die markierten Felder sind Pflichtfelder. Bitte ausfüllen.

Kommentar *

Bitte beachten Sie vor dem Eintragen die Datenschutzerklärung). .