Meine Anwendung wird als selbstsigniertes Applet an mehrere Tausend Benutzer in über 50 Schulen im ganzen Land (in Norwegen) verteilt. Dem Benutzer wird die standardmäßige Java-Sicherheitswarnung angezeigt, in der er gefragt wird, ob er die Signatur akzeptieren möchte. Wenn er dies tut, läuft das Applet einwandfrei.
Vor etwa einem halben Jahr erhielt jedoch eine Gruppe von 7 Schulen, die alle einer gemeinsamen IT-Abteilung unterstanden, keine Sicherheitswarnung mehr. Stattdessen wurde das Applet geladen und im nicht vertrauenswürdigen Modus ausgeführt, ohne dem Benutzer zuvor die Möglichkeit zu geben, die Signatur anzunehmen oder abzulehnen.
Das Problem besteht auf Windows-Rechnern und nur, wenn der Rechner mit dem Schulnetzwerk verbunden ist. Wenn sie denselben Rechner mit nach Hause nehmen, funktioniert das Programm wie vorgesehen, mit Sicherheitswarnungen und allem.
Ich weiß im Allgemeinen nicht viel über Windows-Systeme, aber ich würde denken, dass es eine Art Richtliniendatei oder etwas ist, das geladen wird, wenn sich ein Computer mit dem Schulnetzwerk verbindet bzw. sich darüber verbindet.
Darüber hinaus trat das Problem in diesen 7 Schulen erst auf, nachdem Änderungen nach einer Sicherheitsverletzung vorgenommen wurden, die es vor einiger Zeit gab. Die IT-Abteilung ist ratlos. Ich bin ratlos.
Irgendwelche Gedanken, Kommentare, Vorschläge?
Antwort1
Ich bin kein Experte für Browsersicherheit, könnte mir aber vorstellen, dass die Sicherheitseinstellungen des Browsers so geändert wurden, dass alle nicht vertrauenswürdigen Zertifikate (selbstsignierte Zertifikate werden nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert und können daher von jedem stammen) aufgrund der Sicherheitsverletzung als unsicher behandelt werden.
Das würde dazu passen, dass keine Warnungen ausgegeben werden, und ich kann mir nur vorstellen, dass dies bedeutet, dass das Selbstzertifikat automatisch als nicht vertrauenswürdig markiert wird, weshalb das Applet nur im nicht vertrauenswürdigen Modus ausgeführt wird.
Antwort2
Haben Ihre Benutzer versucht, die Zertifikate auf ihren Maschinen zu bereinigen?
Systemsteuerung / Java / Sicherheit / Zertifikat / Löschen?
Wie beny23 sagte, haben sie das selbstsignierte Zertifikat möglicherweise irrtümlicherweise als unsicher angesehen ...
Aber es würde nicht erklären, warum das System von zu Hause aus laufen kann …
Antwort3
Ich vermute, dass selbstsignierte JAR-Dateien von einem Web-Proxy herausgefiltert werden.
In der Systemsteuerung gibt es die Option „Benutzern erlauben, Berechtigungen für Inhalte einer nicht vertrauenswürdigen Autorität zu erteilen“. Auch die OCSP-Prüfung hat die Standardkonfiguration zwischen den Updates geändert, obwohl ich vermute, dass das bei selbstsignierten Versionen wahrscheinlich keine Rolle spielt.
Ich rate dringend davon ab, selbstsignierte Zertifikate zu akzeptieren.