Apple, ActiveSync und StartCom / StartSSL / WoSign

Derzeit erreichen mich viele Anfragen zu ActiveSync und Apple Geräten. Apple Geräte möchten mit der integrierten Mail App keine ActiveSync Verbindung mit Exchange herstellen.

Wer seine Umgebung also in der folgenden Beschreibung wiederfindet, läuft in das beschriebe Problem:

• Apple Geräte mit der integrierten Mail App (iPhone, iPad)
• Das SSL Zertifikat stammt von StartCom / StartSSL oder WoSign
• Der Remote Connectifity Analyzer meldet keine Probleme
• Active Sync funktioniert auf den Apple Geräten nicht

Ich hatte verschieden Artikel zu kostenlosen Zertifikaten veröffentlicht, darunter waren auch StartSSL und WoSign:

• Kostenlose SAN-Zertifikate auch bei StartSSL
• Kostenlose SAN-Zertifikate mit 3 Jahren Laufzeit

Apple hat diesen beiden Zertifizierungsstellen allerdings das Vertrauen entzogen und die Root-Zertifikate entfernt. Apple schreibt dazu folgendes:

Die Zertifizierungsinstanz WoSign stieß auf mehrere Kontrollfehler bei ihren Verfahren zur Zertifikatsausstellung für die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2. Obwohl in der Liste der Root-Zertifikate, denen Apple vertraut, kein WoSign-Root-Zertifikat aufgeführt ist, verwendete diese Zwischen-Zertifizierungsinstanz gegengezeichnete Zertifikatsbeziehungen mit StartCom und Comodo, um für Apple-Produkte als vertrauenswürdig zu gelten.

Angesichts dieser Erkenntnisse wurden mit einem Sicherheitsupdate entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Die Zwischen-Zertifizierungsinstanz WoSign CA Free SSL Certificate G2 wird von Apple-Produkten nicht mehr als vertrauenswürdig erachtet.

Quelle: https://support.apple.com/de-de/HT204132

Das heißt im Klartext: WoSign und StartCom/StartSSL haben Mist gebaut und gelten als nicht mehr vertrauenswürdig. Die Apple Mail App stellt also keine Verbindung mehr her. Seit Dezember 2016 akzeptiert Apple nun garkeine Zertifikate der beiden CAs mehr:

In einem anstehenden Sicherheitsupdate werden weitere entsprechende Maßnahmen zum Schutz der Nutzer ergriffen. Apple-Produkte werden Zertifikate von WoSign- und StartCom-Root-Zertifizierungsinstanzen (CA) sperren, sofern die Datumsangabe für „Not Before“ (Nicht vor) 1. Dezember 2016 00:00:00 GMT/UTC lautet oder danach liegt.

Quelle: https://support.apple.com/de-de/HT204132

Heißt im Klartext: Alle WoSign und StartCom Zertifikate nach dem 01.12.2016 sind auf Apple Geräten ungültig.

Alle Betroffenen sollten also das Zertifikat austauschen. Let’s Encrypt bietet ebenfalls kostenlose Zertifikat an, hier allerdings nur mit 3 Monaten Laufzeit, was ein häufigen Austausch nötig macht.

Exchange 2016: Kostenlose Zertifikate von Let’s Encrypt

Ich hab da nochmal Glück gehabt, werde mein Zertifikat aber auch austauschen: