Unified Communications: Probleme bei TLS-Verbindungen mit AddTrust Root-Zertifikat beim Microsoft Lync Server

Heute machen wir auf ein weit verbreitetes Problem bei Unified Communications (UC) mit dem Microsoft Lync Server aufmerksam: Wird bei UC-Zertifikaten die Datenübermittlung mit dem AddTrust Root-Zertifikat von Comodo abgesichert, stuft der Server das Zertifikat als nicht vertrauenswürdig ein. Die Ursache für das Problem liegt im TLS/SSL-Zertifikate-Handshake-Prozess. Hierbei sendet der Server eine Liste vertrauenswürdiger Zertifizierungsstellen an den Client. Letzterer verwendet diese Liste dazu, um ein Clientzertifikat auszuwählen, das vom UC-Server als vertrauenswürdig eingestuft wird, so dass eine sichere TLS-Verbindung zwischen Client und Server aufgebaut werden kann.

Allerdings ist die Liste, die der Microsoft Lync Server bei der Client-Authentifizierungsanfrage übermittelt, zu lang, d. h. der Server vertraut derzeit einfach zu vielen Zertifizierungsstellen. Der SSL-Header wird dadurch so sehr aufgebläht, dass der Handshake nicht mehr fehlerfrei abgewickelt werden kann. Die Folge: Das AddTrust Root-Zertifikat von Comodo wird fälschlicherweise als nicht vertrauenswürdig eingestuft.

Das Problem kann laut Microsoft umgangen werden, indem server-seitig die Liste der vertrauenswürdigen Stammzertifikate durch manuelles Entfernen einiger Zertifizierungsstellen verkleinert oder aber die Liste während des Handshakes nicht mehr gesendet wird. Auf der Client-Seite können die Gruppenrichtlinien so konfiguriert werden, dass die vom Server übermittelte Liste der vertrauenswürdigen Zertifizierungsstellen ignoriert wird.

Gerne unterstützen wir unsere Kunden, für die diese Lösungsansätze keine zufriedenstellende Option darstellen, bei der Behebung des Problems.

Weitere Informationen unter www.psw.net