Verifizierungsoptionen
Mithilfe der Verifizierungsoptionen für vertrauenswürdige Anbieter können Sie Parameter für die Validierung eines Zertifikats festlegen. Dabei werden bestimmte Attribute ignoriert oder zugelassen. Das Zertifikat muss gültig sein, damit die Regel anwendbar ist. Es gibt jedoch unterschiedliche Stufen der Validierung, die Sie für ein Zertifikat konfigurieren können.
Die erweiterten Optionen sind verfügbar, wenn Sie Metadaten für Dateien hinzufügen. Klicken Sie dazu auf Verifizierungsoptionen.
Durch Ändern der Einstellungen unter Verwendung der erweiterten Zertifikatoptionen könnte die für die Validierung eines Zertifikats erforderliche Sicherheitsstufe herabgesetzt werden.
Das Dialogfeld "Verifizierungsoptionen" gibt Aufschluss über den aktuellen Status eines Zertifikats und bietet Zugang zu den Optionen "Ablaufdatum" und "Erweiterte Zertifikatoptionen". Die Verifizierungsoptionen sind an folgenden Stellen verfügbar:
- Zertifikate für vertrauenswürdige Anbieter
- Metadaten für zulässige und verweigerte Dateien und Ordner
Wenn Sie ein Zertifikat hinzufügen, prüft Application Control, ob das Zertifikat gültig ist. Das Ergebnis der Prüfung wird im Meldungsfeld "Aktueller Verifizierungsstatus" angezeigt. Die Prüfung wird jedes Mal durchgeführt, wenn eine Option in diesem Dialogfeld aktualisiert wird. Das Zertifikat könnte beispielsweise aufgrund eines nicht vertrauenswürdigen Stammzertifikats ungültig sein. Wird anschließend die Option Nicht vertrauenswürdige Stämme zulassen ausgewählt, prüft Application Control das Zertifikat erneut und aktualisiert den Status mit dem Hinweis, dass die Validierung des Zertifikats nunmehr erfolgreich war.
Sie können außerdem wählen, ob das Ablaufdatum des Zertifikats durchgesetzt werden soll. Die Standardeinstellung sieht vor, dass Application Control das Ablaufdatum von Zertifikaten ignoriert, sodass diese unbefristet gültig sind. Wenn Sie festlegen, dass das Ablaufdatum durchgesetzt werden soll, wird das Zertifikat nach dem Ablauf nicht mehr verifiziert und der Anbieter gilt nicht mehr als vertrauenswürdig.
Erweiterte Zertifikatoptionen
Mithilfe der erweiterten Zertifikatoptionen können Sie Parameter für die Validierung eines Zertifikats festlegen. Dabei werden bestimmte Attribute ignoriert oder zugelassen. Das Zertifikat muss gültig sein, damit die Regel anwendbar ist. Es gibt jedoch unterschiedliche Stufen der Validierung, die Sie für ein Zertifikat konfigurieren können.
Durch Ändern der Einstellungen unter Verwendung der erweiterten Zertifikatoptionen könnte die für die Validierung eines Zertifikats erforderliche Sicherheitsstufe herabgesetzt werden. Daraus können sich Sicherheitsrisiken ergeben.
Wenden Sie beim Bestimmen der Zertifikatverifizierung die folgenden Einstellungen an:
- CTL-Sperrfehler ignorieren – Beim Erhalt einer CTL-Sperre (CTL: Certificate Trust List, Zertifikatvertrauensliste) werden Fehler ignoriert.
- CA-Sperrfehler ignorieren – Beim Erhalt einer CA-Sperre (CA: Certificate Authority, Zertifizierungsstelle) werden Fehler ignoriert.
- Sperrfehler im Endzertifikat ignorieren – Ignoriert Fehler beim Erhalt des Endzertifikats oder Benutzerzertifikats. Die Sperre ist unbekannt.
- Stammsperrfehler ignorieren – Beim Erhalt einer gültigen Stammsperre werden Fehler ignoriert.
- CTL-Zeitfehler ignorieren – Ignoriert, dass die Zertifikatvertrauensliste ungültig ist, etwa weil das Zertifikat abgelaufen ist.
- Zeitverschachtelungsfehler ignorieren – Ignoriert, dass das Zertifikat der Zertifizierungsstelle und das ausgestellte Zertifikat über nicht verschachtelte Gültigkeitsperioden verfügen.
- Fehler wegen grundlegender Einschränkungen ignorieren – Ignoriert, dass die grundlegenden Einschränkungen nicht gültig sind.
- Fehler wegen ungültigem Namen ignorieren – Ignoriert, dass das Zertifikat einen ungültigen Namen aufweist.
- Fehler wegen ungültiger Richtlinie ignorieren – Ignoriert, dass das Zertifikat eine ungültige Richtlinie aufweist.
- Fehler wegen ungültiger Nutzung ignorieren – Ignoriert, dass das Zertifikat nicht für die aktuelle Nutzung ausgestellt wurde.
- Nicht vertrauenswürdige Stämme zulassen – Ignoriert, dass der Stamm aufgrund einer unbekannten Zertifizierungsstelle nicht verifiziert werden kann.
Das Zertifikat der Zertifizierungsstelle gilt beispielsweise vom 1. Januar bis 1. Dezember und das ausgestellte Zertifikat vom 2. Januar bis 2. Dezember. Man spricht dann davon, dass die Gültigkeitsperioden nicht verschachtelt sind.