Lahmgelegte Apps wegen Serverfehler: Schweigen von Apple nach bald einem Jahr
2020 sorgte ein Ausfall dafür, dass sich Mac-Apps nicht mehr starten ließen. Das Problem legte auch Datenschutzbedenken offen. Getan hat sich bislang wenig.
Apples OCSP-Abfrageserver fielen im November 2020 einfach aus.
(Bild: dpa, Oliver Berg/dpa)
Apple hat zu einem schwerwiegenden Ausfall seiner Zertifikateinfrastruktur im November 2020 noch immer keine offizielle Lösung präsentiert – trotz einer entsprechenden Ankündigung. Damals hatte ein Serverfehler beim sogenannten OCSP-Verfahren (Online Certificate Status Protocol) dazu geführt, dass Macs, die über eine Internet-Verbindung verfügten, zahllose Apps schlicht nicht mehr starten konnten. Ein Abgleich nach OCSP war nicht möglich, weil der Daemon trustd, der eigentlich sicherstellen soll, dass App-Zertifikate gültig sind und nicht wegen Malware-Gefahren zurückgezogen wurden, schlicht keine Antwort bekam. Das Resultat waren Millionen lahmgelegte Macs.
Änderungen angekündigt – im November 2020
Der Mac-Hersteller reagierte daraufhin mit einer umfangreichen Ankündigung von Änderungen, da sich im Rahmen des Problems auch ergeben hatte, dass es ein grobes Datenschutzproblem gab: Es soll ein IP-Logging beim Start von Apps gegeben haben. Im Rahmen der Überprüfung der Notarisierungs- und Zertifikateüberprüfungsroutinen war dem Konzern aufgefallen, dass man die zugehörige IP-Adresse der Nutzer gespeichert hatte. Dies habe man nun aber "beendet", hieß es im November 2020. Künftig sollen IP-Adressen im Zusammenhang mit Developer-ID-Zertifikateüberprüfungen nicht mehr geloggt werden, zudem werde man "sicherstellen, dass alle gesammelten IP-Adressen aus den Logs entfernt werden".
IPs geloggt – entfernt?
Aktuell ist unklar, ob dies geschehen ist – das entsprechende Supportdokument, in dem das Logging eingeräumt wurde, ist seit April 2021 nicht mehr angefasst worden – und die entsprechende Passage lautet nach wie vor, man werde sicherstellen, "dass die IP-Adressen von den Logs entfernt" werden. Eine Vollzugsmeldung fehlt. Weiterhin steht hier auch noch die Ankündigung dreier neuer Schritte: So soll es ein neues, verschlüsseltes Protokoll für das Überprüfen auf zurückgezogene Zertifikate geben – offenbar fehlte es hier an der Verschlüsselung. Weiterhin wolle man einen "starken Schutz gegen Serverausfälle" sowie eine "neue Einstellung zum Opt-Out aus diesen Sicherheitsschutzmaßnahmen" liefern.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Opt-Out für Schutzmaßnahmen fehlt
Ob Punkt 1 oder 2 mittlerweile umgesetzt sind, weiß niemand. Von Punkt 3, der Opt-Out-Funktion als Teil des Betriebssystems, ist auch in der jüngsten macOS-Version 11.5.2 noch nichts zu sehen. Der Blogger, macOS-Experte und Mac & i-Autor Howard Oakley schreibt, er habe bislang noch nichts dazu vernommen und forderte Apple auf, endlich ein Update zum Fortschritt bei den Maßnahmen zu geben. (bsc)
