Beiträge von WismutKumpel

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.

    Die Zeit auf dem Laptop war ca. 2 Minuten in der "Zukunft"...

    Ja, Kryptologie (hier: die Verwendung der Zertifikate für TLS) ist eben eine sehr exakte Wissenschaft. WOWEREIT!


    Die Frage ist, wieso wird die RTC deines Rechners nicht ständig automatisch mit einem NTP-Server synchronisiert? Es gibt keinen Grund, dieses zu verhindern. Ganz im Gegenteil …


    vy 73 de Peter


    edit: Verschenke ein "W". Danke an milupo.

    Hallo charlie!


    Auch wenn sich unsere Meinungen zu einem Konzern wie Facebook garantiert sehr ähneln, so schließe ich mich zu 100% der Meinung von Sören an: Eine Verunglimpfung mit einem "anderen" Namen ist nicht gut. Macht man einfach nicht!


    Trotzdem einen Tipp:

    Schau dir mal das Add-on "Facebook Container" an. Anhand der Beschreibung sollte dieses Tool schon einiges von dem tun, was du möchtest. (Ich selbst konnte zwar davon bislang noch nichts bemerken, aber das liegt wohl eher daran, dass ich mein Netz durch ein "vorgeschaltetes Gerät" sauber halte.)


    vy 73 de Peter

    Hallo hans67,


    spätestens jetzt, wo mehrere User bestätigt haben, dass das bei ihnen nicht der Fall ist, würde ich bei mir selbst nach den Ursachen suchen.

    Zuerst (weil das am einfachsten ist), würde ich meinen Rechner einem Scan mit "desinfec't" unterziehen. Die paar €nen für die immer noch im Zeitungsfachhandel liegende aktuelle c't sollte es dir Wert sein und ein USB-Stick mit diesem Programm sollte iegentlich immer vorhanden sein. (Gerade, wenn man ein "etwas älteres" Betriebssystem wie Windows 1 benutzt :) :) :) )

    Ziel des ganzen: ausschließen, dass Schadsoftware DNS-Umleitungen "eingebaut" hat.


    Danach würde ich mal die DNS-Einstellungen genau unter die Lupe nehmen. Welche Einstellungen sind im Router eingetragen? Auch mal dort bewusst einen anderen (1.1.1.1 oder 9.9.9.9 usw.) eintragen. Im Rechner sollte immer der vorgeschaltete Router als DNS-Server eingetragen sein.


    vy 73 de Peter

    Hallo!


    Auch wenn der Originalbeitrag (IMHO völlig zu Recht!) entfernt wurde, möchte ich dennoch die versprochene Antwort schreiben.

    Gestern haben meine beiden Rechner (und vermutlich auch die Rechner meiner Partner) die aktuelle Version 101.0 (64-Bit) aus dem Repo gezogen.

    Wie zu erwarten war, funktionierten alle von meiner eigenen XCA generierten (TSL-)Zertifikate auch unter dem Fx in der o.g. Version perfekt. Es handelt sich hier ausschließlich um aus dem "Heimnetz" (hier: Wireguard-VPN) erreichbare Geräte.


    Konkret :

    - das GUI von 8 Fritz-Boxen bzw. anderen Routern (einschließlich diverser Fritz-App Fon, die mal ein Problem mit selbst generierten Zertifikaten hatten)

    - insgesamt 5 Synology-NAS

    - alle meine 8 Wireguard-Server auf der Basis der F!B 4040 bzw. 7412 (natürlich nur deren GUI)

    - 5 Raspberry Pi (pi-hole und Seafile-Server)

    - und noch einiges anderes "Gerödel"


    Auch von meinen Partnern habe ich keine Fehlermeldungen erhalten.

    Fazit: Da muss wohl beim TE (breeder) etwas anderes nicht in Ordnung sein.


    vy 73 de Peter

    Aber ich brauche jetzt einen Tip wo ich unter "about:config" diese Meldung für diese Seite deaktiveren kann.

    Ein derartiger "Tipp" wäre genau so viel wert, wie der, beim lästigen Leuchten irgend einer roten Anzeige im Auto die betreffende LED zu entfernen.

    Denn genau so, wie du deinen Motor irgendwann kaputt fährst, besteht auch beim Deaktivieren der Warnung vor einer nicht durch das Zertifikat zu prüfenden Webseite/Verbindung die Gefahr auf einer gefakten oder mit Malware verseuchten Seite zu landen, ohne dass du das bemerkst.

    Besser wäre, wie .DeJaVu schon gesagt hat, den Admin der Firma anzusprechen. Denn vermutlich betrifft das nicht nur deine Frau, sondern alle Mitarbeiter, welche im HomeOffice arbeiten.

    Die Lösung ist ganz einfach: Der Admin übergibt dir das (öffentliche) Zertifikat seiner CA, welches du dann unter den vertrauenswürdigen Herausgebern importieren und ihm dann das Vertrauen aussprechen kannst.

    Hallo P.Opel,


    Schuss ins Blaue: Hat dein Smartphone wirklich die genaue Uhrzeit? Manchmal sind es "die kleinen Dinge".


    Und auch wenn es dir bei deinem aktuellen Problem nicht helfen wird:

    Ich nutze auch, wo auch immer möglich, eine 2FA. Entweder OTP, aber auch YubiKey und seit ein paar Tagen auch den ganz neuen NitroKey 3 NFC.


    Beim "alten" OTP mache ich mir immer sofort eine Kopie des Startcodes (also des von der Webseite beim Einrichten angezeigten QR-Codes) mittels Screenshot und speichere diesen in einem gesicherten Bereich.


    Was dein aktuelles Problem betrifft, wird Sören bestimmt eine Lösung für dich :) haben.


    vy 73 de Peter

    Gaaaanz vorsichtige Rückfrage (verursacht durch die Bemerkung "Online nicht zu erreichen"):


    Könnte es vlt. sein, dass es sich bei deinem Serverzertifikat um ein selbst hergestelltes oder gar (wie bei bestimmten Druckern, NAS usw. üblich) vom Gerät selbst signierten und sogar als Root-Zertifikat deklariertes Zertifikat handelt?

    Manche Browser, MUA u.a. schauen sehr genau hin, und manche schauen weg.

    Selbstverständlich kannst du für nicht öffentlich erreichbare oder nur für einen begrenzten Teilnehmerkreis erreichbare Server Zertifikate selbst herstellen. Aber dann eben auch richtig.


    vy 73 de Peter

    Ja, was Browser-freies-zum-Lachen. Geschichte aus dem wahren Leben ...


    Problem:

    Egal, was ich auch für eine Anwendung offen hatte, der Cursor sauste immer ununterbrochen von links nach rechts.


    Lösung nach doch einigem Suchen:

    Ich hatte mir anlässlich des kommenden Weihnachtsfestes eine neue und auch recht teure Tastatur (Cherry mit mechanischen Tasten) gegönnt. Wunderbar, ein Traum ...

    Die uralte ausgeleierte Tastatur mit der Gummimatte "flog" mit kühnem Schwung in mein Regal, um dort die Zeit bis zur Entsorgung zu verbringen.

    Und nach ein paar Tagen landeten dann die ausgelesene c't und die iX ebenfalls in dieses Regal.

    Und dann trat urplötzlich der o.g. Fehler auf. ^^


    Und wer will, darf jetzt gerne lachen ... .


    vy 73 de Peter

    gumbl:


    Ich bin zwar auch 100%iger Linuxuser, aber ich kann dir das trotzdem erklären Hier also die Erklärung für "Mausschubser":

    1. Auf dem "auswärts zu betreibenden Gerät" (Smartphone oder Laptop usw.) sicherstellen, dass dieses nicht direkt mit dem eigenen Heimnetz verbunden ist. Also bspw. dieses direkt über Mobilfunk (also ohne WLAN!) betreiben oder mal beim Nachbarn fragen, ob du mal in sein (W)LAN kannst. Dann sollte dazu aber das eigene WLAN temporär abgeschaltet werden.
    2. Jetzt mit diesem (ohne Zugang zum eigenen Netz betriebenen!) Gerät die Seite http://www.whatismyip.com aufrufen. Dir wird jetzt die IP deines Nachbarn oder deines Mobilfunkzuganges angezeigt. In beiden Fällen kannst du auch deutlich sehen wenn dein Nachbar einen anderen Provider hat oder eben den Namen deines Mobilfunkproviders. => die angezeigte IP aufschreiben. Es reicht die angezeigte IPv4, denn das verkrüppelte AVM-VPN kann immer noch kein IPv6.
    3. Nun das VPN aktivieren und die o.g. Seite erneut aufrufen oder neu laden lassen. Jetzt solltest du eine andere IP (die deines eigenen Internetzuganges) angezeigt bekommen. => ebenfalls aufschreiben und dann mit der Anzeige in der Fritz!Box vergleichen.
    4. Jetzt kannst du auch über den aktivierten VPN-Tunnel einen der üblichen Speedtests für Mausschubser durchführen. Nicht wundern, wenn das Ergebnis nicht gerade prickelnd ist.

    OK?


    vy 73 de Peter

    Was schlägst du vor?

    Hallo,


    ich wurde zwar in diesem Kontext nicht gefragt, antworte aber trotzdem.

    Für ca. 15€nen erhältst du in der Bucht eine der aus nicht verständlichen Gründen ungeliebten F!B 7412. In Verbindung mit 1/2 Stunde Lesen im Netz (bspw. hier: Billige Fritzbox 7412: Wireguard-VPN und DNS-Verschlüsselung ...) und einer Stunde Bastelspaß hast du vor dir einen sehr gut funktionierenden Wireguard-VPN-Server vor dir zu stehen. Und Wireguard ist ist IMHO das beste VPN, was es aktuell gibt. Und diesem VPN ist es (im Gegensatz zum kastrierten AVM-VPN welches die Fritz!Box von zu Hause aus mitbringt) egal, ob dein Anschluss DS-lite oder DS mit einer routingfähigen IPv4 hat. Wireguard funktioniert mit beiden Protokollen. Und die zu erreichende Bandbreite des Tunnels entspricht fast der deines Uplinks (nun ja, nicht gerade mit der 7412, aber wenn du wesentlich mehr als 40Mbit/s haben solltest, dann eben mit der 4040).

    Falls du dich dafür interessierst, kann ich dir gerne helfen.

    Hier hat "jemand" auch etwas dazu geschrieben: #8


    vy 73 de Peter

    Ich bleibe bei meiner Aussage. (Nein, das Alter ist kein Verdienst. Und ich wäre auch gerne noch 5 Jahre jünger. Nicht mehr, denn täglich auf Arbeit gehen möchte ich jetzt nicht mehr. So gerne, wie ich meinen Job all die Jahre gemacht habe.)


    BTW:

    Mein erstes eigenes Auto war ein Skoda 105L. An meinem 30. Geburtstag war meine Warteliste endlich abgearbeitet. milupo wird verstehen, was ich damit meine.


    vy 73 de Peter

    Hallo,


    ich möchte den Beitrag von Sören noch um einige persönliche Erfahrungen ergänzen.

    Ich betreibe seit ~15 Jahren (wo ich vor meiner Pensionierung noch Mitarbeiter eines großen TrustCenters war) eine "gar nicht mal so kleine" Privat-CA. In diesen Jahren habe ich mitunter bis zu 600 Zertifikate pro Jahr hergestellt. In erster Linie für die private S/MIME-Verschlüsselung unserer Mitarbeiter, aber auch viele für diverse privat betriebene Webseiten, Fritz!Boxen, NAS, VPN-Endpunkte usw.

    Die Produktion dieser Zertifikate erfolgt nach exakt den gleichen Regeln, wie sie für kommerziell betriebene CA üblich sind - natürlich immer im Rahmen des "Zumutbaren". Ach ja, an LE war damals noch nicht zu denken ... .


    Der einzige Unterschied zu den etablierten kommerziellen TC ist, dass deren Herausgeberzertifikate von den Herstellern der diversen Browser, MUA, VPN-Clients usw. bereits vorinstalliert werden. (Manche fliegen auch aus guten Gründen wieder raus ... .) Alles andere ist völlig identisch. Und es ist auch so, dass alle TrustCenter erst einmal ihren eigenen root-Schlüssel selbst generiert haben. Das root-Zertifikat wurde dann entweder selbst signiert oder (meist gegen Bezahlung) zur Signatur an ein etabliertes TC übergeben. Das allererste root-Zertifikat des ersten TC war deshalb auch ein selbst signiertes.

    Letztendlich entscheidet die Reputation oder die entsprechenden Selbsterklärungen der TC (nach hoffentlich strenger Überprüfung) - oder eben die Nutzung der Signatur durch ein etabliertes TC - darüber, welches TC in den Browsern usw. gelistet ist. (Und natürlich der Betrag, welchen das jeweilige TC dafür bereit ist, zu zahlen ... .)


    Jetzt ist lediglich wichtig, wer die Nutzer der entsprechenden angebotenen und mit diesen selbst signierten Zertifikaten versehenen Dienste sind. Wird ein Dienst ganz öffentlich im Netz angeboten, verbietet es sich fast von selbst, selbst signierte Zertifikate zu verwenden (ist ja auch Dank LE nicht mehr unbedingt erforderlich). Aber zur S/MIME-verschlüsselten Kommunikation untereinander bekannter Personen oder auch zum Zugriff bestimmter berechtigter Personen auf diverse Dienste steht absolut nichts dagegen, dafür selbst signierte Zertifikate zu benutzen. Die erreichbare Sicherheit ist (zumindest bei sachgerechter Produktion dieser Zertifikate und Nutzung eines sicheren Hardware-RGN und auf einem speziell abgesicherten und nicht am Netz hängenden Rechner usw.) ist völlig identisch mit den Produkten kommerzieller TC. Und ja, Vertrauen kann man sich auch erarbeiten ... .


    Wenn dann das immer mit übergebene root- (und Jahres-) Zertifikat der privaten CA durch den jeweiligen Nutzer manuell in seinem Browser und MUA unter "Herausgeberzertifikate" importiert wird, sind diese Zertifikate denen der kommerziellen Anbieter ebenbürdig. Dann klappt es auch ohne "Meckermeldung".

    Und ein mit openssl selbst erzeugtes Primitiv-Zertifikat ohne jegliche Restiktionen, welches sich dann selbst als CA ausgibt und dann im Rahmen einer "Ausnahmeregel" im Browser importiert wird, ist für mich ein No-Go.


    vy 73 de Peter

    Vielleicht noch ein wenig zu diesem Thema:

    • .cer, .der, .p7b und (mitunter) .pem sind die reinen "öffentlichen" Zertifikate. Wie schon geschrieben, beinhalten sie zumindest den public key und die Bestandteile für die Identitätsprüfung - womit ich dich jetzt nicht zuschütten möchte.
      Und die Besonderheit bei .pem ist, das in diesem Format auch private Schlüssel exportiert werden können. Ja, das kann zur Verwirrung führen => durch Anzeige mit einem normalen Texteditor kann man das aber deutlich erkennen, wenn dort "private key" steht.
    • In allen Zertifikaten (-sdateien) kann, muss aber nicht, neben den o.g. benötigten Bestandteilen das oder die Herausgeberzertifikate des herausgebenden TrustCenters beinhaltet sein.
    • Für die Gültigkeitsprüfung eines Zertifikates ist/sind aber die Herausgeberzertifikate zwingend erforderlich. Das ist sozusagen das "elektronische Dienstsiegel" des Herausgebers. Diese Herausgeberzertifikate können wie folgt bereitgestellt werden:
      - als vom Hersteller des Gerätes oder des Browsers oder ... geprüfte und bereits importierte "vertrauenswürdige Zertifikate"
      - als Bestandteil der direkt importierten Server oder Benutzerzertifikat (gerade im .p7b ist die gesamte Zertifikatskette enthalten)
      - oder als zusätzlich zu importierende Zertifkatsdateien.
      Letztendlich ist das für die Gültigkeit der zu prüfenden Zertifikate uninteressant. Hauptsache, die Zertifikatskette ist vorhanden und kann geprüft werden.
    • Und dann gibt es noch die geheim zu haltenden privaten Schlüssel. Diese müssen auf einem sicheren Weg bereitgestellt oder übertragen werden und sind (wenn als Datei vorliegend) .p12, .pfx oder auch .pem-Dateien. Und sie sind auch (fast immer) mit einem Transport-Passwort geschützt. Für deren Import wird ebenfalls die Zertifikatskette des ausstellenden TrustCenters benötigt. Und die sicherste Methode für den Umgang mit derartigen privaten Schlüsseln ist die Speicherung auf einer entsprechend ausgestatteten Microprozessor-Chipkarte - aber diese kennst du ja wohl bestens.

    Habe ich dich doch zugeschüttet ... .


    BTW: Ich habe doch wirklich die gesamte Anleitung von Secunet durchgelesen. Und das hat sogar gute Erinnerungen an die letzten 15 Jahre meiner beruflichen Tätigkeit hervorgebracht. So unterschiedlich ist das eben. :)


    vy 73 de Peter

    Die Frage habe ich ja auch schon gestellt. Aber es gibt wirklich Geräte, wo ein bestimmtes Format gefordert wird - warum auch immer.

    Ach ja, selbst der Thunderbird kann im- und in diversen Formaten exportieren.

    Mit Windows kann ich es "leider" nicht probieren, denn ichhabegarkeinwindows ... .

    Aber, egal wie es ist, eine Konvertierung ist immer möglich.

    Hallo argsef,


    zuerst einmal 2 grundsätzliche Bemerkungen dazu:

    1. Sowohl .pem als auch .cer sind vom eigentlichen Inhalt her völlig identische Dateien. Nur eben als BASE-64 codierte ASCII-Datei oder in binärer Form. In den meisten Fällen ist dem importierenden Gerät egal, welches Format vorliegt (hast du probiert?)
    2. Beide enthalten den öffentlichen Schlüssel des Servers (und in der Regel noch die der herausgebenden Stelle/n) und Daten zur Identifizierung und das ganze vom Herausgeber signiert).

    Wenn der Firefox es wirklich nicht ermöglicht, ein anderes Format als .pem zu exportieren (ich habe das nicht ausgetestet), dann gibt es viele Möglichkeiten, einen Export als .pem in so ziemlich jedes Format zu konvertieren. Dabei treten auch, wenn du es richtig machst, keine Verluste auf.

    Gib in die Suchmaschine deines geringsten Misstrauens "Konvertieren .pem in .cer" ein und du bekommst eine Reihe guter Hinweise. Sie sehen IMHO alle "gut" aus.


    Viel Erfolg!

    Peter


    edit: Willkommen im Forum!

    Danke, DAS verstehe ich unter einer zielführenden Antwort!

    Der Link ist exakt jener, welcher im TrayIcon eines laufenden Duplicati-Dienstes angezeigt wird (Open/Pause/Quit, hier eben Open). Diesen Link habe ich bei laufendem Fx geöffnet und dann angeheftet.

    Leider hat das Entfernen von "/#" nichts bewirkt.

    Also werde ich mich jetzt mit dem Inspektor durch den Quelltext wühlen. Wird schon noch ... .

    Hallo .DeJaVu,


    zuerst einmal Danke, dass du mir eine, wenn auch nicht hilfreiche, Antwort geschrieben hast.

    Dass dort kein Text steht, habe ich ja selbst in meiner Problembeschreibung gepostet. Meine Frage war, ob und wie ich aus dem Quelltext irgend etwas relevantes für die Fehlersuche herauslesen kann bzw. wonach ich suchen muss.

    Mittlerweile habe ich festgestellt, dass dieser Effekt nur bei einem angepinnen Fenster - und wie schon geschrieben, immer beim ersten Start des Browsers - auftritt. Starte ich den Fx und rufe danach die Seite auf, wird selbige ordnungsgemäß dargestellt.


    Und, mit Duplicati kenne ich mich bestens aus. Ich schrieb ja auch, dass dieses Programm bei mir sehr zuverlässig funktioniert. Immerhin laufen bei mir 14 verschiedene nach Zeitplan gestaffelte Sicherungsläufe. Und auch meine weiteren 7 VPN-Teilnehmer sichern damit ihre Daten wechselseitig zeitgesteuert auf ihre und die anderen NAS.

    Hallo Experten des Firefox!


    Ich habe gegenwärtig ein lästiges, aber keinesfalls funktionseinschränkendes Problem beim Betrachten des GUI meines lokalen Duplicati-Servers (das ist ein Programm für die vollautomatische Datensicherung auf diverse Server per WebDAV).

    Ich bin mir recht sicher, dass dies KEIN "Firefox-Problem" ist, erhoffe mir mit meinem Posting hier lediglich Tipps für die Suche nach der Ursache.


    Wenn ich den angehefteten Reiter Reiter (Add-on "Gruppen-SpeedDial) mit dem in Hintergrund laufenden GUI vonDuplicati (nur lokaler Link: http://localhost:8200/ngax/index.html#/) erstmalig nach Browserstart öffne, wird auf der abgedunkelten Oberfläche ein leeres Hinweisfenster angezeigt. Dieses verschwindet sofort spurlos bei Betätigung von [F5], [Strg]+[R] oder auch beim Leeren des Caches.

    Dabei "sehe" ich für den Bruchteil einer Sekunde, dass in dem verschwindenden, vorher leeren, Hinweisfenster irgend eine Meldung steht - oder besser stand. => Screenshot.


    Meine Frage, kann man den Quelltext irgendwie erkennen (Browser-Konsole?) und vor allem wonach soll ich bei einem leeren Fenster suchen?

    Und hat überhaupt jemand einen Hinweis für die Fehlersuche.

    Bevor die Frage kommt: Duplicati läuft seit mindestens einem Jahr völlig stabil und sichert klaglos und ohne mein Eingreifen die /home meiner Nutzer über meine Wireguard-Verbindungen auf diverse NAS meiner VPN-Partner.


    Vielen Dank schon mal für zielführende Antworten.


    Glück Auf!

    Peter