Beschreibung
In Umgebungen mit fehlendem oder eingeschränktem Internetzugang kann es beim Starten des WTS-Testplayer Clients aufgrund von Windows-Zertifikatsprüfungen zu längeren Ladezeiten kommen.
Grundsätzlich lässt sich WTS offline auch ohne Internetverbindung uneingeschränkt verwenden. Allerdings ist Windows standardmäßig so konfiguriert, dass es die digitalen Signaturen von ausführbaren Dateien überprüft. Dabei versucht das System, Zertifikatssperrlisten (CRLs) von öffentlichen URLs der jeweiligen Zertifizierungsstelle herunterzuladen.
Ist der Zugriff auf diese URLs nicht möglich, aber auch nicht aktiv blockiert, wartet Windows bei jedem fehlgeschlagenen Downloadversuch mehrere Sekunden, bis eine Zeitüberschreitung eintritt.
SCHUHFRIED signiert alle ausführbaren Dateien mit einem Extended Validation (EV) Code-Signaturzertifikat von GlobalSign und folgt damit bewährten Sicherheitsstandards. Diese Signaturprüfungen können jedoch in Netzwerken mit eingeschränktem Internetzugang zu spürbaren Verzögerungen führen. Wenn mehrere signierte Dateien geladen werden, können sich diese Wartezeiten beim Starten von Testungen auf mehrere Minuten summieren.
Es ist wichtig zu beachten, dass diese Prüfungen vom Windows-Betriebssystem und nicht von WTS selbst durchgeführt werden.
Problembehebung
Um zu überprüfen, ob ein System von dem Problem betroffen ist, kann der folgende Befehl in einer PowerShell-Instanz ausgeführt werden:
PS> Invoke-WebRequest crl.globalsign.com -TimeoutSec 20
Wenn der Befehl „hängt“ und nach 20 Sekunden eine Zeitüberschreitung auftritt, ist das System betroffen. Wenn er sofort beendet wird, ist es wahrscheinlich nicht betroffen.
Die folgenden Maßnahmen können zur Vermeidung der Verzögerungen ergriffen werden:
1 - Zugriff auf *.globalsign.com erlauben (empfohlen)
Die Überprüfung anhand von Zertifikatssperrlisten ist eine wichtige Sicherheitsmaßnahme und sollte idealerweise aktiviert sein. Da für das WTS ein GlobalSign-Zertifikat verwendet wird, ist hierfür der Zugriff auf crl.globalsign.com und ocsp.globalsign.com erforderlich. Es ist jedoch generell ratsam, solche CRL-Überprüfungen für alle installierten Stammzertifikate zuzulassen. Siehe dazu den Zertifikatsspeicher Ihres Computers.
2 - Zugriff auf *.globalsign.com blockieren
Die Verzögerung wird durch fehlgeschlagene Download-Versuche infolge einer Zeitüberschreitung verursacht. Werden die Anfragen an *.globalsign.com aktiv blockiert, treten die Verzögerungen nicht auf.
3 - Prüfung auf Zertifikatsperrlisten deaktivieren
Öffnen Sie auf dem betroffenen Gerät die Internetoptionen und deaktivieren Sie die Option Auf gesperrte Zertifikate von Herausgebern überprüfen:
