Zertifikate https

  • Ein Hallo aus Griechenland,

    ich habe mehrere FF-Installationen auf unterschiedlichen Rechnern und bin auch mega zufrieden damit.

    Wenn ich die Fernwartung einer FRITZ!Box mit https://dyndnsname.com aufrufe, kommt eine Meldung "Dieser Verbindung wird nicht vertraut". Da es meine eigene FRITZ!Box ist, vertraue ich ihr natürlich, klicke auf "Ich kenne das Risiko" und es geht weiter. Kein Problem.


    Bei einer Installation kommt aber ein (blau umrandetes) Fenster

    =======================================================
    WARNUNG

    dyndnsname.com verwendet ein ungültiges Sicherheitszertifikat.

    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
    Das Zertifikat ist am 18.02.1904 01:38 abgelaufen. Die aktuelle Zeit ist 16.05.2013 14:50.

    (Fehlercode: sec_error_expired_issuer_certificate)
    =======================================================

    Ich kann nur auf "OK" klicken und das war's dann. Es geht nicht weiter.

    Wo kann man das abstellen ?

    "Ich kenne das Risiko" (das gar keines ist) und will weiter.

  • Zitat von Boersenfeger

    Καλώς ήρθατε στο φόρουμÜberprüfe als Erstes deine Systemzeit/Computerzeit...


    Ο χρόνος του συστήματος είναι σωστή, βέβαια (Die Systemzeit stimmt natürlich .....)

    Ich wollte nochmal ausdrücklich betonen, dass ich 3 FF-Installationen (21.0) unter XP habe, bei denen das problemlos funktioniert. Nur bei der 4. (auch 21.0) gibt es die Probleme. Und die 4 Installationen sind eigentlich ziemlich identisch, auch seitens XP.

    Mittlerweile habe ich auch noch festgestellt, dass es bei unterschiedlichen FRITZ-Boxen unterschiedliche Meldungen gibt. Ich habe sie hier mal abgebildet, ebenso eine korrekte von den funktionierenden Installationen.

    [attachment=0]MELDUNG.JPG[/attachment]

    Gruß aus Griechenland ...

    Nachträgliche Änderung vom 17.05.13 17:13 FF-Release Tippfehler korrigiert in 21.0

  • Hallo,

    Die Fritz-Box generiert bei der ersten Freischaltung für den Fernzugang selbstständig ein Schlüsselpaar, welches auch selbst signiert wird. Klar, daher die Fehlermeldung betreffs Vertrauenswürdigkeit.

    Vermutlich (!!) war zu genau dem Zeitpunkt des Signierens die Zeit der Box noch nicht synchronisiert und deshalb ist im Zertifikat ein Ablaufzeitpunkt wenige Jahre nach Beginn der Unix-Zeitrechnung eingetragen.
    (korr: sogar eine absolut sinnlose Zeit!)

    Ein Browser mit korrekt funktionierender Gültigkeitsprufung der Zertifikate bemerkt das, einer der schlampig prüft, merkt das nicht.

    Ob du dieses abgelaufene Zertifikat bereits durch Deaktivierung des Fernzugangs (und Restart der Box sowie Neueinrichtung des Fernzugangs) los wirst, oder die ganze Box resetten musst, kann ich dir nicht sagen.

    MfG WK
    Getippselt per Tapatalk 2 auf meinem SGS III.

  • Hallo,

    ich habe mehrere FRITZ!Boxen mit Fernwartung. Eine davon wurde erst letzte Woche aufgebaut, die älteste läuft ca. 3 Jahre.

    Alle 4 FF-Installationen (21.0) bemerken bei allen FRITZ!Boxen die "nicht vertrauenswürdige Verbindung". Das ist auch gut so.

    Aber warum komme ich mit 3 XP-Rechnern problemlos in alle FRITZ!Boxen indem ich bestätige, das Risiko zu kennen und warum komme ich mit dem einen XP-Rechner in keine der FRITZ-Boxen und werde auch gar nicht erst gefragt ob ich das Risiko kenne und akzeptieren möchte. Siehe dazu auch die Screenshots in meinem letzten Beitrag.

    Das Problem liegt mit 99,9%iger Wahrscheinlichkeit nicht an den FRITZ!Boxen. Meiens Erachtens ist da irgendeine "verbogene" Sicherheits-Einstellung, die ich beim besten Willen trotz intensiver Suche nicht finde.

  • Bitte poste mal die Zertifikatsdaten, welche auf den Rechnern gespeichert sind, welche keine Fehlermeldung hinsichtlich des Ablaufs der Gültigkeit bringen. Vergleiche auch mal mit den Daten des Z. auf dem Rechner mit der Fehlermeldung.
    Ziel: herausfinden, ob das Zertifikat nun wirklich abgelaufen ist (wegen: wie ich oben gepostet habe), oder ob genau dieses Z. auf einem anderen Rechner als gültig angezeigt wird. Mich interessiert also die exakte Gültigkeit.
    Weiterhin interessiert mich die Zertifikats-Seriennummer => für den nachfolgenden Test.

    Was passiert, wenn du, so wie ich auch beschrieben habe, zumindest einmal die Fernwartung deaktivierst (Haken raus!), die Fritte neu startest und danach die Fernwartung erneut aktivierst? Dauert keine zwei Minuten ... .
    Ziel: herausfinden, ob die Box bereits dadurch angeregt wird, ein neues Schlüsselpaar zu generieren. NEU bedeutet hier, ein anderes Gültigkeitsdatum (beginnend von heute) und eine andere Seriennummer.

    Bei solchen Fehlern ist es immer notwendig die Ursache des Fehlers zu finden!
    Und dafür kommen IMHO nur zwei in Betracht: Wirklich ein abgelaufenes Zertifikat (=> das würde bedeuten, dass bis auf den Rechner mit der Fehlermeldung die anderen Rechner die Gültigkeit des Zertifikates schlampig prüfen!) oder wirklich ein Problem bei dem Rechner mit der Fehlermeldung.
    Andererseits zeigt diese Fehlermeldung ein zwar sinnloses, aber trotzdem deutlich zu sehendes Datum an.

    Da ich (wegen besserer Möglichkeiten - ausschließlich Nutzung von VPN für den Fernzugriff!) diese einfache Fernwartungsfunktion nicht nutze, kann ich da leider bei mir nicht mitprüfen.

    MfG WK