Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

macOS: Einige Dritthersteller-Apps durch abgelaufene Zertifikate lahmgelegt

Einige Besitzer des beliebten Passwortmanagers 1Password für den Mac mussten am Sonntag erleben, dass sich die App nicht mehr starten ließ. Die automatische Fehlermeldung sprach von einem Netzwerkfehler. Auch zahlreiche andere Anwendungen litten plötzlich an dem gleichen Problem.


Dritthersteller-Apps von außerhalb des Mac App Store
Auffälligerweise betraf der Fehler nur solche macOS-Programme, die auf anderem Weg als über den Mac App Store geladen wurden. So funktionierte beispielsweise 1Password tadellos weiter, wenn der Kauf über Apples Verkaufsplattform abgewickelt worden war. Der Hintergrund konnte schnell entdeckt werden: Es ging um ablaufende Entwickler-Zertifikate.


Entwickler-Zertifikate
Um gewisse Software als rechtmäßig und bekannt zu markieren, auch wenn sie nicht vom Mac App Store stammen, verteilt Apple seit geraumer Zeit Zertifikate an Entwickler. Diese besitzen, wie üblich, einen Ablaufzeitpunkt. Allerdings sorgten abgelaufene Zertifikate in der Vergangenheit lediglich dafür, dass neue Software nicht mehr unterstützt wurde; auf bereits installierte Anwendungen hatte der Vorgang keine Auswirkungen. Genau dieses Verhalten hat Apple aber im vergangenen Jahr geändert. Ablaufende Zertifikate legen nun die Apps von entsprechenden Drittentwicklern lahm.

Abhilfe
Betroffene Entwickler, neben 1Password auch PDFpen und weitere, entschuldigten sich rasch bei ihrer Kundschaft. Betroffene Anwender sollen auf der jeweiligen Homepage die neueste Version des Programms herunterladen, dieses dürfte sich wieder starten lassen. Künftig, das versprachen sie alle, würden sie genauer als bisher im Blick behalten, wann ihre Zertifikate ablaufen und weit im Voraus für Ersatz sorgen.

Seit macOS Sierra verhindert der Gatekeeper standardmäßig den Start von Apps, die nicht entweder aus dem Mac App Store oder von zertifizierten Entwicklern stammen. Allerdings gibt es über ein Öffnen der App per Rechtsklick weiterhin die Möglichkeit, auch anders bezogene Programme zu öffnen (siehe MTN-Artikel über Gatekeeper in macOS Sierra: ).

Weiterführende Links:
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...
Apple-Event angekündigt
Apple-Event angekündigt
Großausfall bei Apple: Zahlreiche Dienste gestört
Großausfall bei Apple: Zahlreiche Dienste gestö...
Berichte zum iPhone 16: Zurück zum alten Design der Kamera, neuartiger Button an der Seite für Fotos und Videos
Berichte zum iPhone 16: Zurück zum alten Design...
Weitere Apple-Prozessoren geplant: Entwicklung von Serverchips
Weitere Apple-Prozessoren geplant: Entwicklung ...
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Updates erschienen: iOS 17.4.1 und weitere verfügbar
Updates erschienen: iOS 17.4.1 und weitere verf...

Kommentare

macusr20.02.17 17:46
Lässt sich eine App mit abgelaufenem Zertifikat denn auch öffnen, wenn Gatekeeper abgeschaltet ist? So als sei es eine App gänzlich ohne Zertifikat?
0
sffan20.02.17 17:57
Vor Sierra: Ja - kann man den "Wachhund" auch ganz ausschalten.
Bei Sierra geht nur noch der im Artikel im letzten Absatz beschriebene Weg.
0
ratti
ratti20.02.17 18:12
Hurra, Apple „beschützt“ die Anwender durch „Zertifikate“. Was passiert, wenn der Anbieter der (lauffähigen!) Software zum Beispiel gar nicht mehr existiert, passt in einen Satz: Der unbedarfte Anwender sieht die Schuld beim bösen Anbieter und kauft zukünftig nur noch in Apples AppStore, wo er vor sowas „sicher“ ist.

Glücklicherweise lässt sich Gatekeeper nach wie vor auch komplett deaktivieren, nur eben nicht über die GUI, sondern im Terminal:

sudo spctl --master-disable

Und jetzt Feuer frei für die Fans von Schlangenölsoftware.
-1
macusr20.02.17 18:23
Danke für den Tip. Fragt sich, wie lange das jedoch noch funktioniert. Ich dachte, die Probleme gäbe es nur bei OS X Installern. Das Fremdsoftwares auch ein von Apple gesetztes "Ablaufdatum" haben, war mir neu. Diese Entwicklung sagt mir nicht zu, muss ich sagen.
+5
PaulMuadDib20.02.17 20:57
Das ist kein Ablaufdatum, sondern ein Zertifikat. Das ist eine der Möglichkeiten sicherzustellen, ob die Software auf dem Weg manipuliert worden ist.
-1
Cupertimo21.02.17 01:27
Ich komme seit Monaten nicht mehr mit Safari auf SoundCloud wegen eines Zertifikats, dass abgelaufen ist. Nervt einfach nur. Hab auch schon alle Lösungsvorschläge ausprobiert, nichts hilft. Ganz toll diese Zertifikate.
0
PaulMuadDib21.02.17 08:06
Vielleicht mal bei SoundCloud nachfragen? Schließlich sollten die sich um ihre Zertifikate kümmern. Zertifikate sind eben der Weg, eine Verbindung zusätzlich abzusichern. Keine Ahnung, ob es einen anderen Weg gäbe, der ohne irgend einen auf dem Zielrechner befindliche Überprüfungsinstanz auskommt.
0
schaudi
schaudi21.02.17 09:31
PaulMuadDib
Das ist kein Ablaufdatum, sondern ein Zertifikat. Das ist eine der Möglichkeiten sicherzustellen, ob die Software auf dem Weg manipuliert worden ist.

Ich meine das stimmt so nicht ganz. Was du beschreibst, wäre eine checksumme. Das Zertifikat bescheinigt nur, dass der Entwickler bei Apple eines beantragt hat und dort somit namentlich bekannt ist. Der Entwickler hat dann ein Zertifikat für alle seine Apps.

Nur mit einer checksumme (zB md5) kannst du überprüfen ob das Programm auf dem Weg vom Entwickler zu dir verändert wurde. Der Entwickler muss dazu für jedes einzelne Update und jede einzelne App eine solche erstellen und in irgendeiner Form veröffentlichen (zB auf seiner Webseite). Im Anschluss kannst du dann nach dem Download, mit einem entsprechenden Programm erneut eine checksumme erstellen, von der heruntergeladenen Datei und vergleichen ob diese mit der Summe übereinstimmt, die der Entwickler bereitgestellt hat.
Hier persönlichen Slogan eingeben.
+2
macusr21.02.17 17:18
PaulMuadDib
Das ist kein Ablaufdatum, sondern ein Zertifikat.

Ist bekannt, nur verhält sich das wie ein Ablaufdatum. Wenn der Entwickler nicht mehr existiert, oder aufhört zu entwickeln, oder keine 99 USD pro Jahr mehr bezahlen will, wäre die Software irgendwann tot, man kann sie dann wegwerfen oder solange es noch geht, Gatekeeper abschalten. Sicherheit in Ehren, aber bitte ohne die Funktion der erworbenen Produkte ungefragt zum Datum X zu beenden.
+1
PaulMuadDib22.02.17 07:38
Dann müssen die Entwickler eben dafür sorgen. Die Dinge sind so, wie sie sind.

Nachtrag: und ob es eine gute Idee ist, Software zu betrieben, die nicht mehr gepflegt wird, steht auf einem anderen Blatt.
-1
sierkb02.03.17 18:45
heise (02.03.2017): Signierte Mac-Apps stürzen ab: Apple bietet Abhilfe
Von Mac-Entwicklern angelegte Profile sind nun 18 Jahre lang gültig – unabhängig davon, ob das Developer-Zertifikat abläuft. Dies soll verhindern, dass signierte macOS-Software erneut unerwartet beim Starten abstürzt.

Apple Support Document (Update): Developer ID :
[…]
Managing Developer ID Certificate and Provisioning Profile Expiration
[…]
Developer ID certificates are valid for 5 years from the date of creation and Developer ID provisioning profiles generated prior to February 22, 2017* are valid until your Developer ID certificate expires.
[…]
*To simplify the management of your Developer ID apps and to ensure an uninterrupted experience for your users, Developer ID provisioning profiles generated after February 22, 2017 are valid for 18 years from the creation date, regardless of the expiration date of your Developer ID certificate.
[…]

Und ja, nach allem ,was man über das Ganze hat lesen können: es hat bei der einen oder anderen App des einen oder anderen Herstellers durchaus echte Abstürze gegeben – im Gegensatz und deutlich darüber hinausgehend zum simplen Nicht-Starten. Nicht-Starten der betreffenden App ist bei abgelaufenem Zertifikat gewollt und der gewünschte Effekt. Ein echter Absturz der App beim Start, noch im Prozess der Signaturprüfung, ob die Signatur nun gültig ist oder nicht, ist von Apple so sicher nicht beabsichtigt gewesen und ist ganz sicher als unnormal und als abweichend vom Soll zu bezeichnen. So aber wohl geschehen. Die Probleme sind wohl nur aufgetaucht im Zusammenhang mit Provisioning Profiles und bei der Prüfung/Gewährung/Nichtgewährung von für die Sandbox notwenigen entitlements/Ausnahmen.

Auch deshalb von Apple nun die Verlängerung der Zertifikatsdauer auf 18 Jahre. Ob damit die eigentliche Ursache für die echten Abstürze technisch im drunterliegenden Framework beiseite geräumt ist oder Apple sich damit nur Luft verschafft, nicht in diese Problematik erneut reinzugeraten, bleibt unklar. Wahrscheinlich und evtl. beides: erstmal Luft verschaffen, die Zertifikatsdauer erstmal und auf jeden Fall generös verlängern, um sich darüberhinaus in Ruhe der eigentlichen Ursache und Problemquelle unter der Haube besser widmen zu können und diese ordentlich und in Ruhe auszuräumen (wenn's komplexer ist, könnte das evtl. dauern).
-1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.