Ich versuche, zu besuchen https://www.duluthtrading.com/, und erhalte unter Windows 7 die Fehlermeldung „Nicht vertrauenswürdiges Zertifikat“. Dies passiert sowohl im Internet Explorer als auch in Chrome (da beide den Windows-Zertifikatspeicher verwenden).
Hier ist die Zertifikatskette:
- Universelle Stammzertifizierungsstelle von VeriSign
- Symantec Klasse 3 Secure Server SHA256 SSL-Zertifizierungsstelle(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
- www.duluthtrading.com(6e 70 94 1a e6 39 88 9a 64 fa cb 76 34 af 62 e6 43 83 66 cf)
- Symantec Klasse 3 Secure Server SHA256 SSL-Zertifizierungsstelle(e7 32 73 e5 3a cf e8 0f 41 0b 3e f4 6b 18 02 87 a0 04 40 cd)
Das Problem ist, dass die Root-CA (VeriSign Universal Root Certification Authority) auf diesem problematischen System nicht vertrauenswürdig ist. Dieser Computer ist über Windows Update auf dem neuesten Stand.
Ich habe auf einer anderen Windows 7-VM (die weniger aktuell war) nachgesehen und das Zertifikat war dort unter „Stammzertifizierungsstellen Dritter“. Diese VM hatte weniger Zertifikate.
Warum fehlt dieses CA-Zertifikat?
Wie kann ich diese Maschine reparieren?
Update: Im Windows-Anwendungsprotokoll werden mir die folgenden Fehler angezeigt:
Event 4101, CAPI2
Failed auto update retrieval of third-party root certificate from: <http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/AFE5D244A8D1194230FF479FE2F897BBCD7A8CB4.crt> with error: 12007 (0x2ee7).
Antwort1
Normalerweise sollten Sie sich über derartige Probleme keine Sorgen machen müssen.
Wenn Ihnen ein Zertifikat vorgelegt wird, das von einer nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurde, kontaktiert Ihr Computer die Windows Update-Website, um zu prüfen, ob Microsoft die Zertifizierungsstelle zur Liste der vertrauenswürdigen Zertifizierungsstellen hinzugefügt hat. 1
SehenMicrosoft KB 2328240: „Ereignis-ID 4107 oder Ereignis-ID 11 wird im Anwendungsprotokoll in Windows und in Windows Server protokolliert“
Ursache- Dieser Fehler tritt auf, weil das Microsoft Certificate Trust List Publisher-Zertifikat abgelaufen ist. Eine Kopie der CTL mit einem abgelaufenen Signaturzertifikat befindet sich im Ordner CryptnetUrlCache.
Auf dieser Seite steht ein „Fix it for me“-Download bzw. Anleitungen zum manuellen Beheben des Problems zur Verfügung.
Nach dem Anwenden des Updates und dem Neustart sollte Ihr Computer beim nächsten Besuch der Site das CA-Zertifikat automatisch herunterladen. Ein Neustart des Browsers und ein erneuter Besuch der Site sollten erfolgreich sein.
1 - Dies wurde aus der Beschreibung im Gruppenrichtlinien-Editor (gpedit.msc) paraphrasiert: Administrative Vorlagen/System/Internetkommunikationseinstellungen/Automatische Aktualisierung von Stammzertifikaten deaktivieren