Hadmut Danisch
Ansichten eines Informatikers

Nochmal zu den toten Kartenterminals

Hadmut
2.6.2022 19:14
Uncategorized

Nochmal eine Anmerkung.

Weil mir gerade ganz viele Leser schreiben, dass es die Zertifikate seien, und immerhin Fefe das sage:

Ich hatte ja gesagt, dass abgelaufene Zertifikate auch meine erste Vermutung waren, und nicht nur meine, und das man das geprüft habe. Irgendwo stand aber, dass das nicht das Problem sei. Nicht alles, was naheliegend, plausibel und meistens der Fall ist, ist auch immer der Fall. Plausibel und zutreffend ist halt doch immer noch zweierlei.

Leser wiesen auch auf diese und diese Webseite hin.

Demnach gibt es zwar Fehlermeldungen, die auf Zertifikatsprobleme (genauer: Kein gefundenenes Zertifikat, leere Zertifikatsliste) hinauslaufen, aber sowas kann – weiß jeder, der etwas Erfahrung im Debuggen solcher Probleme hat – eine ganze Reihe von Ursachen haben, und ein abgelaufenes Zertifikat ist nur eine.

Es gibt zwar inzwischen auch Hinweise, wonach ein Root-Zertifikat nach 10 Jahren abgelaufen sei, aber eben auch andere.

Es habe um Weihnachten 2021 ein Firmware-Update gegeben, es ist aber nicht so ganz klar, ob die ausgefallen sind, die das Update bekommen haben oder die, die es nicht bekommen haben.

Das Problem könnte aber sein, dass die Geräte schon sehr alt, nahe am Ende ihrer Lebensdauer waren, und es neulich eine Änderung des Protokolls/Standards gab. Es könnte also durchaus sein, dass beispielsweise die Software zu alt war und die vielleicht noch Zertifikate mit SHA-1 verwendete und der nun nicht mehr akzeptiert wird, weil zu alt und unsicher, oder auch die Chiffren veraltet sind. Das ist ein durchaus bekanntes Problem, dass mit einem Softwareupdate und den damit oft einhergehenden Abschaltungen alter Verfahren solche Probleme auftreten. Sowas gab es auch zwischen SMTP-Mail-Relays, wenn die einen auf aktueller Software waren, die SHA-1 nicht mehr akzeptierte, und die anderen nur SHA-1-Zertifikate hatten.

Oder einfach die Schlüssellängen.

Es kann auch bedeuten, dass die Dinger nicht genug RAM oder sowas haben, und einfach den Speicherplatz für die Bearbeitung der Zertifikate sie noch belegen können. Nur weil da Fehlermeldungen Zertifikatsprobleme zeigen, heißt das noch lange nicht, dass es Datumsprobleme sein müssen. Es gibt ganz viele Fehlerursachen für sowas. Das braucht auch einiges Fachwissen, um sowas zu debuggen.

Man sollte sich also schon der Schlaumeierei enthalten, wenn ein Zertifikatsfehler kommt, auf Ablauf zutippen, auch wenn das der häufigste Fehler ist. Es ist halt so 15%-über-Laie-Fachwissen, sich ohne die Ursache zu kennen, darauf festzulegen. Weil es eben ganz viele verschiedene Ursachen gibt, die sich so äußern können. Man muss es debuggen. Dann weiß man es. Vorher weiß man es nicht. Fertig.

Der eigentliche Knackpunkt ist aber:

Es ist völlig egal, ob es ein Zertifikatsproblem oder sonstwas ist.

Sie haben was in der Software vermurkst. Das soll nicht, das dürfte nicht, kann realistisch aber immer vorkommen. Was genau, ist eigentlich wurscht.

Sie haben keine vernünftige Vorgehensweise, damit umzugehen. Und das ist das eigentliche Problem. Nicht, ob ein Zertifikat abgelaufen ist.

Damit wären sie nämlich auch nicht in der Lage, auf einen Hackerangriff adäquat zu reagieren.

Anders gesagt:

Nicht das Zertifikat ist das Problem. Das Problem ist, dass das Zertifikat immer noch ein Problem ist.

Zahlungsterminals sollten durchaus als kritische Infrastruktur betrachtet werden, vor allem in Zeiten, in denen man das Bargeld abschaffen will oder man in irgendwelchen Pandemien (soll’s ja schon gegeben haben) empfiehlt, aus hygienischen Gründen auf Bargeld zu verzichten.

Vielleicht ist das mit dem Bargeld doch gar keine so schlechte Idee.