Änderungen an der Überprüfung des TLS-Server-Zertifikats im Microsoft Edge-Browser

Hinweis

Microsoft Edge for Business ist jetzt in der stabilen Edge-Version 116 verfügbar! Erfahren Sie mehr über die neue, dedizierte Arbeitserfahrung mit nativer Sicherheit auf Unternehmensniveau, Produktivität, Verwaltbarkeit und integrierter KI.

Wenn Microsoft Edge Verbindungen mit einem HTTPS-Server herstellt, überprüft Edge, ob der Server ein Zertifikat vorgelegt hat, das von einer Vom Browser vertrauenswürdigen Entität ausgestellt wurde. Diese Vertrauensstellung wird über eine Zertifikatvertrauensliste hergestellt, und die komponente, die für die Durchführung der Überprüfungen verantwortlich ist, wird als Zertifikatüberprüfung bezeichnet.

In früheren Versionen von Microsoft Edge wurden sowohl die Standardzertifikatvertrauensliste als auch die Zertifikatüberprüfungslogik von der zugrunde liegenden Betriebssystemplattform bereitgestellt.

Für verwaltete Geräte werden ab Microsoft Edge 112 unter Windows und macOS sowohl die Standardzertifikatvertrauensliste als auch die Zertifikatüberprüfung vom Browser bereitgestellt und mit diesem ausgeliefert. Dieser Ansatz entkoppelt die Liste und die Überprüfung für das Standardüberprüfungsverhalten vom Stammspeicher des Hostbetriebssystems. Weitere Informationen zum Zeitpunkt der Änderung finden Sie im Leitfaden zum Rollout Zeitleiste und Tests.

Auch nach der Änderung fragt der Browser die zugrunde liegende Plattform nach lokal installierten Stammelementen ab, die von Benutzern und/oder Unternehmen installiert wurden. Daher sollten Szenarien, in denen ein Benutzer oder Unternehmen mehr Stammelemente im Stammspeicher des Hostbetriebssystems installiert hat, weiterhin funktionieren.

Diese Änderung bedeutet, dass die Zertifikatüberprüfungslogik in Microsoft Edge unter Windows und macOS konsistent funktioniert. In einem zukünftigen Release gilt der Rollout auch für Linux und Android. Aufgrund der Richtlinien von Apple App Store werden der von Apple bereitgestellte Stammspeicher und die Zertifikatüberprüfung unter iOS und iPadOS weiterhin verwendet.

Standardquelle der Zertifikatvertrauensliste

Der Stammspeicher, der im Lieferumfang von Microsoft Edge unter Windows und macOS enthalten ist, stammt aus der Zertifikatvertrauensliste (Certificate Trust List, CTL), die vom Microsoft-Programm für vertrauenswürdige Stammzertifikate definiert wird. Dieses Stammzertifikatprogramm definiert die Liste, die im Lieferumfang von Microsoft Windows enthalten ist. Daher sollten Kunden erwarten, dass keine vom Benutzer sichtbaren Änderungen angezeigt werden.

Wenn unter macOS ein Zertifikat ausgestellt wird, das von einem Stammzertifikat ausgestellt wird, dem die Plattform, aber nicht das Microsoft-Programm für vertrauenswürdige Stammzertifikate vertraut, ist das Zertifikat nicht mehr vertrauenswürdig. Es wird nicht erwartet, dass dieser Mangel an Vertrauenswürdigkeit eine häufige Situation ist, da die meisten Server bereits sicherstellen, dass die von ihnen verwendeten TLS-Zertifikate von Microsoft Windows als vertrauenswürdig eingestuft werden.

Updates werden in dem Rhythmus veröffentlicht, der in den Versionshinweisen für das Microsoft Trusted Root Program dokumentiert ist.

Zeitleiste und Testleitfaden für Rollouts

Ab Microsoft Edge 109 stehen eine Unternehmensrichtlinie (MicrosoftRootStoreEnabled) und ein Flag in edge://flags ("Microsoft Root Store") zur Verfügung, um zu steuern, wann der integrierte Stammspeicher und die Zertifikatüberprüfung verwendet werden.

Geräte, die nicht vom Unternehmen verwaltet werden, erhielten das Feature über einen kontrollierten Featurerollout (Controlled Feature Rollout, CFR) in Microsoft Edge 109 und erreichten 100 % der nicht verwalteten Geräte in Edge 111. Weitere Informationen finden Sie unter Microsoft Edge-Konfigurationen und Experimente. Darin wird erläutert, wie CFRs in Microsoft Edge funktionieren. Für unternehmensverwaltete Geräte wurde die vorhandene plattformbasierte Implementierung über Microsoft Edge 111 verwendet.

Ab Microsoft Edge 112 wurde die Standardeinstellung für alle Windows- und macOS-Geräte geändert, einschließlich unternehmensverwalteter Geräte, um die im Browser ausgelieferte Verifiziererimplementierung und CTL zu verwenden. Die MicrosoftRootStoreEnabled-Richtlinie ist in dieser Version weiterhin verfügbar, damit Unternehmen das vorherige Verhalten rückgängig machen können, wenn unerwartete Probleme gefunden werden, und die Probleme an Microsoft melden.

Microsoft empfiehlt Unternehmen mit Unterbrechungs- und Überprüfungsproxys oder anderen Szenarien mit TLS-Serverzertifikaten, die von Stammzertifikaten ausgestellt wurden, die sich nicht in der Microsoft-CTL befinden, um Kompatibilitätsprobleme proaktiv zu identifizieren und Microsoft zu melden.

In Microsoft Edge 115 wird die Unterstützung für die MicrosoftRootStoreEnabled-Richtlinie entfernt.

Bekannte Unterschiede beim Verhalten von lokal vertrauenswürdigen Zertifikaten unter Windows

Strengere RFC 5280-Konformität

Die neue, integrierte Zertifikatüberprüfung ist bei der Durchsetzung von RFC 5280-Anforderungen strenger als die alte plattformbasierte Überprüfung.

Beispiele für eine strengere RFC 5280-Konformität sind:

1. Algorithmusparameter für ECDSA-Algorithmen müssen fehlen. Die alte Überprüfung würde die Parameter ignorieren, während die neue das Zertifikat ablehnt. Weitere Informationen finden Sie unter Chromium Problem 1453441.
2. Namenseinschränkungen, die eine IP-Adresse angeben, müssen acht Oktette für IPv4-Adressen und 32 Oktette für IPv6-Adressen enthalten. Wenn Ihr Zertifikat eine leere IP-Adresse angibt, sollten Sie das Zertifikat erneut ausstellen und die Einschränkung des IP-Adressnamens vollständig weglassen.
3. Namenseinschränkungen mit einer leeren "ausgeschlossenen" Liste sind ungültig. Die Windows-Zertifikatanzeige zeigt diese Liste als Excluded=None in den Name Constraints Details an. Weitere Informationen finden Sie unter Chromium Problem 1457348. Anstatt eine leere Liste anzugeben, lassen Sie sie vollständig aus.

Anwendungsrichtlinienerweiterung

Vor Microsoft Edge 115 unterstützt die neue Überprüfung nicht das reine Windows-Erweiterungsfeld "Anwendungsrichtlinien", das in der Dokumentation zur CertGetEnhancedKeyUsage-Funktion beschrieben wird. In Microsoft Edge 115 wurde ein Update vorgenommen, um die Erweiterung zu ignorieren. Weitere Informationen finden Sie unter Chromium problem 1439638.

Diese Erweiterung verwendet den Objektbezeichner (OID). 1.3.6.1.4.1.311.21.10 Wenn das Zertifikat diese Erweiterung enthält und als kritisch markiert, schlägt die Verbindung mit ERR_CERT_INVALIDfehl.

Sie können eine der folgenden Möglichkeiten verwenden, um zu überprüfen, ob dieses Szenario für Ihr Zertifikat gilt:

1. Ein über about:net-export erfasstes Netzwerkprotokoll enthält die Zeichenfolge ERROR: Unconsumed critical extension im mit dem CERT_VERIFIER_TASK OID-Wert .2B060104018237150A
2. Öffnen Sie das Zertifikat mit dem Windows-Zertifikat-Viewer. Wählen Sie im Filter "Anzeigen" die Option "Nur kritische Erweiterungen" aus. Überprüfen Sie, ob das Feld "Anwendungsrichtlinien" vorhanden ist.
3. Führen Sie mit dem -dump Schalter auscertutil.exe, und überprüfen Sie die Ausgabe, um nach einem kritischen Feld für die Anwendungsrichtlinienerweiterung zu suchen.

Wenn Ihr Zertifikat diese Erweiterung derzeit verwendet, stellen Sie sicher, dass sie jetzt in Microsoft Edge 115 funktioniert. Alternativ können Sie das Zertifikat erneut ausstellen und sich stattdessen ausschließlich auf das Erweiterte Schlüsselverwendungsfeld (OID 2.5.29.37) verlassen, um zulässige Verwendungen anzugeben.

Bekannte Unterschiede beim Verhalten der Sperrüberprüfung unter Windows

Zusätzlich zu den strengeren RFC 5280-Anforderungen unterstützt die neue Überprüfung keine LDAP-basierten Zertifikatsperrlisten-URIs (Certificate Revocation List, CRL).

Wenn Ihr Unternehmen die RequireOnlineRevocationChecksForLocalAnchors-Richtlinie aktiviert und die CRLs gemäß RFC 5280 ungültig sind, werden in Ihrer Umgebung möglicherweise Fehler und/oder ERR_CERT_UNABLE_TO_CHECK_REVOCATION angezeigtERR_CERT_NO_REVOCATION_MECHANISM.

Vor Microsoft Edge 114 erzwingt die neue Chromium-basierte Überprüfung die maximale Altersstufe der "Baselineanforderung" für CRLs. Für Blattsperrungen beträgt das aktuelle Höchstalter 7 Tage und für zwischengeschaltete Widerrufe das aktuelle Höchstalter 366 Tage. Die Überprüfung wird durchgeführt, indem überprüft wird, ob die aktuelle Uhrzeit abzüglich des "This Update" ("Effective Date") diese Höchstwerte nicht überschreitet. In Microsoft Edge 114 werden diese Anforderungen für nicht öffentlich vertrauenswürdige Zertifikate nicht mehr erzwungen. Weitere Informationen finden Sie unter Chromium problem 971714.

Da der neue Verifizierer Sperrinformationen über den Netzwerkstapel des Browsers herunterlädt, gelten auch HSTS-Upgrades (HTTP Strict Transport Security). Dieses Upgrade kann zu einer Inkompatibilität mit der Anforderung führen, dass die Zertifikatsperrlisteninformationen über HTTP (nicht HTTPS) gehostet werden, wenn auf dem Host ein HSTS-Pin konfiguriert ist. Wenn sich dieses Szenario negativ auf Ihre Umgebung auswirkt, empfehlen wir Ihnen, weitere Informationen zu den Auswirkungen über Chromium Problem 1432246 zu teilen.

Wenn sie feststellen ERR_CERT_NO_REVOCATION_MECHANISM, sollten Sie bestätigen, dass die Zertifikatsperrliste an dem durch das Zertifikat angegebenen URI eine DER-codierte (nicht PEM-codierte) Antwort zurückgibt.

Wenn Fehler auftreten ERR_CERT_UNABLE_TO_CHECK_REVOCATION , sollten Sie bestätigen, dass der Zertifikataussteller auch der Zertifikatsperrlistenaussteller ist, das Feld des Zertifikats cRLIssuer nicht festgelegt ist, dass der URI, der die Zertifikatsperrliste hostet, das HTTP-Protokoll verwendet und sich nicht auf einem Host befindet, der für die Verwendung von HSTS konfiguriert ist, und dass die Zertifikatsperrliste vor kurzem ausreichend ausgestellt wurde.

Weitere Informationen

• Sicherheit in Microsoft Edge für Ihr Unternehmen
• Microsoft Edge Enterprise-Angebotsseite