Wie entferne ich SSL-Zertifikatausnahmen unter iOS?

22

Wenn über HTTPS eine Verbindung zu einer URL hergestellt wird und das SSL-Zertifikat nicht übereinstimmt (z. B. an einem kostenpflichtigen Wi-Fi-Hotspot), werden Sie in einem Dialogfeld gefragt, ob das Zertifikat akzeptiert werden soll. Wenn Sie das Zertifikat akzeptieren, fügt iOS eine SSL-Ausnahme hinzu und fragt nie wieder nach diesem Zertifikat.

Dies hat möglicherweise zwei Aspekte: In Safari akzeptierte Zertifikate und für Netzwerkdienste in anderen Apps akzeptierte Zertifikate.

Die Frage ist, wie man diese Ausnahmen entfernt, kurz vor einem vollständigen Geräte-Reset? Es scheint keine Möglichkeit zu geben, Ausnahmen in den Geräteeinstellungen anzuzeigen oder zu entfernen.

ios security ssl David Diaz
quelle
2
Keine Antwort, aber verwandt, also kommentiere ich hier. Eine coole iOS-App zum Untersuchen von Zertifikatketten ist SSL Detective . SSL Detective lädt und zeigt SSL-Zertifikate an und überprüft SSL-Zertifikatketten.
Chillin
Sie erkennen die Sicherheitsaspekte, die hier auftreten, richtig?
Andrew Larsson
4
@ Andrew Larsson Ja, ich verstehe die Auswirkungen auf die Sicherheit. Das ist der springende Punkt. Wenn Sie versehentlich eine SSL-Ausnahme akzeptieren, sind Sie für immer einer Sicherheitslücke mit dem von Ihnen akzeptierten Zertifikat ausgesetzt, es sei denn, Sie können die Ausnahme entfernen.
David Diaz

Antworten:

7

Ich habe einen netten Blog-Beitrag gefunden , der einige gute Informationen und Tipps zu SSL-Zertifikaten enthält.

Sobald die SSL-Ausnahme hinzugefügt wurde, scheint es in iOS 7 keine Möglichkeit zu geben, sie zu entfernen. In früheren Versionen wurde sie durch Klicken auf Einstellungen-> Safari und Auswählen von "Cookies und Daten löschen" gelöscht. Dies scheint in iOS 7 nicht mehr zu funktionieren ....

-

Um die SSL-Ausnahme unter Safari unter iOS 7.0.4 zu entfernen , können Sie alle Einstellungen zurücksetzen (Allgemein> Zurücksetzen> Einstellungen zurücksetzen). Leider löscht es alle deine Einstellungen (go figure); Aber es ist ein großer Schritt besser als eine vollständige Wiederherstellung, bei der Sie Ihre Textnachrichten verlieren.

Eine Anleitung dazu in iOS 6 habe ich hier und auch hier mit Bildern gefunden . Dies funktioniert wahrscheinlich auch unter iOS 5, ich kann es jedoch nicht bestätigen (die unten erwähnte Seite "Profile" wird wahrscheinlich erst angezeigt, wenn installierte Zertifikate zum Anzeigen oder Löschen vorhanden sind). Informationen darüber, wie sich iOS 7 geändert hat, finden Sie weiter unten, falls dies dort nicht funktioniert.

Entfernen Sie Sicherheitszertifikate

vom ersten Link oben:

  • Schalten Sie Ihr iPhone ein und klicken Sie im Hauptmenü auf das Symbol "Einstellungen". Wählen Sie "Allgemein" aus der Liste der Optionen, die im Dropdown-Menü angezeigt werden.

  • Wählen Sie "Profile" aus der Liste der angezeigten Optionen und eine Liste aller Zertifikate auf Ihrem iPhone wird auf dem Bildschirm angezeigt.

  • Blättern Sie durch die Liste der Zertifikate, bis Sie zu demjenigen gelangen, den Sie von Ihrem iPhone entfernen möchten, und klicken Sie auf die Schaltfläche "Entfernen" auf dem Bildschirm. Das Zertifikat wird dann entfernt. Wiederholen Sie den Vorgang für alle anderen Zertifikate, die Sie entfernen möchten.

Sie können Zertifikate auch mit dem Apple Configurator in Mavericks, dem iPhone-Konfigurationsdienstprogramm in Mountain Lion, Lion und Snow Leopard und einer Windows-Version verwalten . Es sind Anweisungen verfügbar.

Informationen darüber, wie sich dies in iOS 7 geändert hat .

SSL-Detektiv

Schauen Sie sich in meinem obigen Kommentar SSL Detective für iOS an . Soweit ich gesehen habe, ist es die einzige iOS-App dieser Art und kann Ihnen dabei helfen, zu bestimmen, welche Zertifikate Sie löschen möchten.

Chillin
quelle
Während das erstere für Zertifikate funktioniert, die mit Profilen als vertrauenswürdig markiert wurden, wurde das Zertifikat die meiste Zeit (wie ich glaube, beim OP) beim Laden der Seite als vertrauenswürdig eingestuft, wodurch kein Profil hinzugefügt wird. In Bezug auf Letzteres ist die kostenlose Version nicht im britischen Store erhältlich. Ich kann sie also nicht testen, aber es sieht so aus, als würde sie nur Zertifikate anzeigen, die von Profilen als vertrauenswürdig eingestuft wurden, nicht von Safari?
grg
@grgarside Ich glaube, Sie haben Recht, weshalb ich das Bit zum Apple Configurator / iPhone-Konfigurationsdienstprogramm hinzugefügt habe. Ich glaube, mit diesen können Sie sie auch dann entfernen, wenn unter Einstellungen / Allgemein kein Profil vorhanden ist. Wenn Sie sich ein selbstsigniertes Zertifikat per E-Mail zusenden, wird diese Profilseite möglicherweise angezeigt und Sie können andere Zertifikate löschen. idk. Was denkst du?
Chillin
Ah, ich habe das Banner "Beitrag wurde bearbeitet" nicht gesehen :) Soweit ich weiß, lässt Sie Apple Configurator nicht zu (können Sie Anweisungen bereitstellen), und in den Anweisungen, mit denen Sie für das iPhone-Konfigurationsdienstprogramm verknüpft sind, wird speziell "Konfigurationsprofil" erwähnt Entfernung ', die nicht auf der Grundlage der Safari-Genehmigung pro Fall erstellt wurden?
grg
2
Ich ändere mich ständig ... Dinge werden besser. Sachen werden immer besser. ;-)
chillin
1
Ich habe diese Frage / Antwort gefunden, als ich herausgefunden habe, warum Safari das Dialogfeld "Nicht vertrauenswürdig" angezeigt hat. SSL Detective für den Gewinn! Es hat mir geholfen festzustellen, dass auf dem Server die Zwischenzertifikate fehlten, die die Validierungskette abschließen. Sobald diese auf dem Server installiert und konfiguriert waren, funktionierte es einwandfrei. Vielen Dank!
Tim Lewis
6

Sie können das SSL-Zertifikat löschen.
Gehen Sie zu Einstellungen → Allgemein → Zurücksetzen → Netzwerkeinstellungen.
Damit ist das Problem behoben.

[BEARBEITEN]

Ab iOS 10.3.2 funktioniert dies NICHT. Stattdessen werden Ihre Netzwerkeinstellungen gelöscht, Zertifikatausnahmen werden jedoch NICHT entfernt.

Ivan
quelle
3
Dadurch werden auch die übrigen Netzwerkeinstellungen zurückgesetzt. Apple hat den Ball hier wirklich fallen lassen.
cjm
1

Noch eine für SSL Detective . Aus irgendeinem Grund hat die letzte iOS 6-kompatible Version einer App, die ich täglich verwende, plötzlich aufgehört, mit einem nicht vertrauenswürdigen Stammzertifikat-Fehler zu funktionieren, der besagt, dass die Authentizität von "GeoTrust Primary Certification Authority - G3" nicht überprüft werden kann. Ich hätte die "E-Mail-Zertifikate" -Funktion von SSL Detective verwenden können, um das Zertifikat einfach zu installieren und es mir selbst zuzutrauen, aber das hätte den Grund für das Problem nicht gefunden. (kein Wortspiel beabsichtigt)

Das erforderliche Stammzertifikat wurde hier gefunden : Ich habe die Website von Safari auf meinem iPhone durchsucht und auf G3 (SHA256) geklickt, um das Stammzertifikat zu installieren. Dadurch wurde mein Problem vollständig gelöst.

Dieses GeoTrust-Dienstprogramm ist auch für zukünftige Leser nützlich, um zu überprüfen, ob die von ihnen besuchte Website SSL an erster Stelle korrekt konfiguriert hat: SSL Certificate Checker

Syclone0044
quelle
1

Für iOS Safari 9.0 Mobile / 13E230 Safari / 601.1, das in einem iOS 9.3 (13E230) Simulator ausgeführt wird, ist die einzige Option, die ich gefunden habe, "Inhalte und Einstellungen zurücksetzen" im Menü "Simulator" in der Symbolleiste.

Mark Doliner
quelle