Probleme mit einem Zertifikat - aber nicht in allen Konten

    Hallo!

    Ich bin gerade ein wenig verwundert:

    Vorhin habe ich mich für ein deutschsprachiges VLC-Player Forum (https://www.vlc-forum.de) registriert.

    Dies habe ich über den aktuellen Firefox aus meinem Standardbenutzerkonto heraus durchgeführt.

    Auf meinem System (Windows 7 Home Premium 64 Bit inkl. SP1) sind neben meinem Standardbenutzerkonto noch ein weiteres Standardbenutzerkonto sowie ein Administratorkonto vorhanden.

    Als ich vorhin im Standardbenutzerkonto meiner Freundin angemeldet war und mich auf auf die besagte Forumseite begeben wollte, erhielt ich seitens des Firefox diese Meldung:

    [attachment=0]Zertifikat.JPG[/attachment]

    Zurück in meinem Benutzerkonto konnte ich die Seite wieder problemlos aufrufen; zu Testzwecken begab ich mich dann ins Administratorkonto, um dort die Forumseite aufzurufen.

    Auch hier erhielt ich jedoch dieselbe Fehlermeldung wie im Benutzerkonto meiner Freundin.

    Wieso kann ich die Seite in meinem Konto aufrufen, in den anderen jedoch nicht?

    Gruß,

    Scyllo

    Bilder

    Windows 7 Home Premium 64 Bit inkl. SP1
    FF 69.0 (64-Bit)
    G DATA IS 25.5.4.21
    Intel i7-2670QM CPU @ 2.20 GHz
    RAM: 6 GB
    NVIDIA GeForce GT 540M
    Intel Centrino Advanced-N 6230
    Fritz!Box 7490 mit OS 7.12

    Hi!

    Ich habe soeben testweise in meinem Benutzerkonto die "cert8.db" aus meinem Profilordner gelöscht und dann den Firefox neugestartet.

    Nun wird auch mir die Fehlermeldung (Dieser Verbindung wird nicht vertraut) beim Öffnen der besagten Seite angezeigt.

    Waren meine Zertifikate also zuvor irgendwie "kompromittiert"?

    Dazu noch eine Frage: Beim Neustarten des FF nach Löschung der "cert8.db" wird diese doch neu erstellt, oder?

    Die Größe der neuen Datei hat gegenüber der alten abgenommen. Dennoch befinden sich in ihr Zertifikate, die offenbar bereits abgelaufen sind.

    Ist das normal?

    Gruß,

    Scyllo

    Windows 7 Home Premium 64 Bit inkl. SP1
    FF 69.0 (64-Bit)
    G DATA IS 25.5.4.21
    Intel i7-2670QM CPU @ 2.20 GHz
    RAM: 6 GB
    NVIDIA GeForce GT 540M
    Intel Centrino Advanced-N 6230
    Fritz!Box 7490 mit OS 7.12

    Deaktiviere einfach mal deine Sicherheitssoftware, insofern installiert. Ggf. auch mal deinstallieren und dann erneut ausprobieren. Evtl. reicht es auch einen vorhandenen Web Browsing Schutz oder ein https:// Scanning zu deaktivieren.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Danke für Deine Antwort, aber inwiefern sollte dieser "Lösungsweg" erklären, dass ich die Seite in zwei Benutzerkonten (Administrator + Standardbenutzer) nicht aufrufen kann, in einem anderen Konto (Standardbenutzer) hingegen doch?

    Die Sicherheitssoftware (in meinem Fall G Data IS) ist ja quasi für alle 3 Konten installiert.

    Gruß,

    Scyllo

    Windows 7 Home Premium 64 Bit inkl. SP1
    FF 69.0 (64-Bit)
    G DATA IS 25.5.4.21
    Intel i7-2670QM CPU @ 2.20 GHz
    RAM: 6 GB
    NVIDIA GeForce GT 540M
    Intel Centrino Advanced-N 6230
    Fritz!Box 7490 mit OS 7.12

    bei einem frischen Firefox Profil bekomme ich genau den gleiche Ansicht wie auf dem Screenshot mit dem "Dieser Verbindung wird nicht vertraut". In meinem Standardprofil allerdings nicht. Somit scheidet die Sicherheitssoftware wohl eher aus.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Zitat von Zitronella

    bei einem frischen Firefox Profil bekomme ich genau den gleiche Ansicht wie auf dem Screenshot mit dem "Dieser Verbindung wird nicht vertraut". In meinem Standardprofil allerdings nicht.

    Ich kann dieses Verhalten bestätigen.Ob eine Erweiterung da mitspielt kann ich nicht sagen. Als Info und zum eventuellen Abgleich: meine Erweiterungen stehen in meiner Signatur.

    Mein Vögelchen zwitschert:

    Zitat

    "cert8.db" ist schon richtig, aber die ist nur für jedes einzelne Profil gültig, Benutzer übergreifend gar nicht.
    Und wenn er diese Datei löscht, sollte auch klar sein, dass sein Profil jetzt auch den Fehler anzeigt.....
    Firefox nutzt seinen eigenen Cert-Cache gegenüber Windows, und anscheinend hat er das Root-Cert (also die Gegenprobe) jener Seite mal zugelassen und damit in die cert8.db geladen.
    Unabhängig davon, dass Zertifikate auch mal ablaufen können.

    Zitat von Boersenfeger

    Mein Vögelchen zwitschert:

    Ich habe ja nicht behauptet, dass das Löschen der cert8.db benutzerprofilübergreifend wäre.

    Zitat von Boersenfeger

    Und wenn er diese Datei löscht, sollte auch klar sein, dass sein Profil jetzt auch den Fehler anzeigt.....

    Weshalb sollte dies klar sein? Dies würde doch nur für den Fall gelten, dass ich für die besagte Seite in meinem Profil irgendwann mal eine Ausnahme erstellt und das dazu gehörige Zertifikat installiert hätte, oder nicht?

    Daran kann ich mich aber nicht erinnern (gut, das muss jetzt kein zwingender Beweis sein, da ich mich diesbezüglich auch täuschen kann.).

    Allerdings können "Zitronella" und "Road-Runner" das Phänomen ja ebenfalls nachvollziehen. Keiner von Ihnen schreibt aber, dass er in dem Profil, in welchem er die Seite problemlos aufrufen konnte, jemals eine Ausnahme für die Seite erstellt bzw. das angebotene Zertifikat installiert hätte.

    Zitat von Boersenfeger

    Firefox nutzt seinen eigenen Cert-Cache gegenüber Windows, und anscheinend hat er das Root-Cert (also die Gegenprobe) jener Seite mal zugelassen und damit in die cert8.db geladen.
    Unabhängig davon, dass Zertifikate auch mal ablaufen können.

    Wie gesagt, daran kann ich mich nicht erinnern (was nichts heißen muss). Aber Zitronella/Road-Runner hätten dies ja dann ebenfalls zulassen müssen.

    Zitat von madperson

    die seite hat ihr intermediary certificate nicht richtig eingebunden: https://www.ssllabs.com/ssltest/analyz…s=87.230.43.108 (chain issues: incomplete)
    zur erklärung als hintergrund dazu: https://www.camp-firefox.de/forum/viewtopi…=931089#p931089

    Leider sagt mir dies nicht viel (auch wenn ich es nachlese).

    Aber auch wenn es so ist, wie Du sagst: dann müsste dies doch auch bei allen 3 Benutzerkonten zum Tragen kommen, oder nicht?

    Meine "alte" cert8.db hatte ich vor dem Löschen aus dem Profilordner an anderer Stelle gesichert.

    Jetzt habe ich sie in den Profilordner zurückgespielt. Wenn es so ist, wie "Boersenfeger" sagt ([...]und anscheinend hat er das Root-Cert (also die Gegenprobe) jener Seite mal zugelassen und damit in die cert8.db geladen[...]), dann müsste ich das folgende Zertifikat doch eigentlich in dieser "alten" cert8.db finden können, oder?

    [attachment=0]Zertifikat.JPG[/attachment]

    Das finde ich aber nicht. Es sei denn, ich suche falsch...

    Gruß,

    Scyllo

    Bilder

    Windows 7 Home Premium 64 Bit inkl. SP1
    FF 69.0 (64-Bit)
    G DATA IS 25.5.4.21
    Intel i7-2670QM CPU @ 2.20 GHz
    RAM: 6 GB
    NVIDIA GeForce GT 540M
    Intel Centrino Advanced-N 6230
    Fritz!Box 7490 mit OS 7.12

    Hallöchen zusammen!

    Ich stehe hier gerade vor einem Rätsel:

    Macht denn der SeaMonkey irgendwie etwas anders wie der Firefox? Weder beim VLC-Forum noch bei beiley.com habe ich irgendwelchen Ärger mit den Zertifikaten, auch nicht mit einem neuen und absolut leeren Profil! Auch andere Browser machen absolut keine Schwierigkeiten auf diesen Seiten, so daß ich wie schon AngelOfDarkness in seiner Antwort auf die verwendete Sicherheitssoftware tippe.

    Prüfen kann ich das allerdings "etwas" schlecht, da ich mir solche Software nicht auf meinem Kubuntu installieren werde. Mir genügt in Verbund mit meinem Tutorial mein Sicherheitskonzept , alles andere sehe ich als Sicherheitsrisiko und Krücke an!

    Zitat von madperson

    sobald du mit den betroffenen profilen einmal die seite https://www.beiley.com/ besuchst (sorry, das war die erstbeste seite, die ich gefunden habe, die "startcom class 2 primary intermediate server ca" ordnungsgemäß eingebunden hat), sollte auch das vlc forum problemlos laden ...

    Aha.

    Also reicht es völlig aus, irgendein "StartCom Class 2 Primary Intermediate Server CA" in der eigenen "cert8.db" vorzufinden?

    Das finde ich nämlich sogar 2x (allerdings mit unterschiedlichen Seriennummern) als "Software-Sicherheitmodul" bei mir im Zertifikatmanager unter „Zertifizierungsstellen“ vor.

    Ich dachte, ich müsste für die besagte Seite nun exakt das Zertifikat aus meinem letzten Screenshot bei mir vorfinden, welches auch dieselben „Fingerabdrücke“ sowie dieselbe Seriennummer aufweist.

    Genau dieses finde ich bei mir aber nicht.

    Sorry....ich kenne mich mit dem Zertifikats-Gedönse halt null aus.

    Dazu auch nochmals eine meiner Fragen von oben: wenn ich Zertifikate in der cert8.db finde, die bereits abgelaufen sind, kann ich die dann getrost löschen?

    Falls ja: weshalb geschieht dies nicht automatisch?

    Zitat von TimoWizard

    Weder beim VLC-Forum noch bei beiley.com habe ich irgendwelchen Ärger mit den Zertifikaten, auch nicht mit einem neuen und absolut leeren Profil! Auch andere Browser machen absolut keine Schwierigkeiten auf diesen Seiten

    Dann hast Du wohl (wenn ich das richtig verstanden habe) mit diesen Browsern irgendwann eine Seite besucht, die "StartCom Class 2 Primary Intermediate Server CA" ordnungsgemäß eingebunden hatte, so dass es jetzt ebenfalls in Deiner "cert8.db" vorhanden ist.

    Zudem: wenn man https://www.beiley.com besucht, soll man ja eben keine Probleme bekommen, da dort das Ganze wohl richtig eingebunden wurde.

    Weshalb dies nun auch bei absolut neuen und "leeren" Profilen bei Dir funktioniert, kann ich nicht sagen. Vielleicht warst Du mit den neuen Profilen ja zuerst auf https://www.beiley.com und erst dann auf https://www.vlc-forum.de ?

    Dann sollte es ja auch keine Probleme mehr geben.

    Gruß,

    Scyllo

    PS: Ich werde dann wohl mal einem der Moderatoren des genannten Forums Bescheid geben.

    Windows 7 Home Premium 64 Bit inkl. SP1
    FF 69.0 (64-Bit)
    G DATA IS 25.5.4.21
    Intel i7-2670QM CPU @ 2.20 GHz
    RAM: 6 GB
    NVIDIA GeForce GT 540M
    Intel Centrino Advanced-N 6230
    Fritz!Box 7490 mit OS 7.12

    warum startssl zwei varianten des "StartCom Class 2 Primary Intermediate Server CA" zertifikates anbietet weiß ich nicht, es muss sich aber auf alle fälle das passende von denen im firefox zertifikatsspeicher befinden (welches das ist, siehst du, indem du wie auf deinem letzten screenshot auf details gehen würdest, wo die zertifikatskette abgebildet ist.

    wenn du dir deiner sache nicht absolut sicher bist, dann führe bitte keine änderungen oder löschungen im zertifikatsspeicher durch. manche der abgelaufenen zertifikate sind auch bewusst dort (u.a. solche, die in der vergangenheit kompromittiert worden sind und hardgecoded auf *nicht vertrauenswürdig* gesetzt sind)...