Probleme mit HTTPS Websites

    Hallo zusammen,

    ich bin seit Jahren Firefox Nutzer - aber mit dem neuesten Update bringt Mozilla mich zum verzweifeln.

    Ich kann leider diverse Managementseiten von Software oder Geräten wie z.B. Switchen nicht mehr öffnen.
    In der Regel ist dort ein self-signed Zertifikat hinterlegt das auch nicht ohne weiteres ausgetauscht werden kann.

    Nun habe ich mit dem neuen FF das Problem das ich nur noch die Meldung "Das Aussteller-Zertifikat ist ungültig. (Fehlercode: sec_error_ca_cert_invalid) " bekomme. Kein Ausnahme hinzufügen Dialog oder ähnliches.

    Ich habe bereits den Parameter security.use_mozillapkix_verification auf "false" gesetzt was zum Teil Abhilfe geschaffen hat aber leider nicht für alle Seiten funktioniert.

    Auch das hinzufügen des Zertifkats zu den Vertrauenswürdigen Stammzertifizierungsstellen hilft nicht.

    Die Mozilla Hilfe ist leider auch nicht sehr hilfreich - da zwar beschrieben wird warum das so ist aber nicht wie man den Fehler umgehen kann ohne das Zertifikat auszutauschen.
    https://wiki.mozilla.org/SecurityEngine…odes_in_Firefox

    Kennt jemand eine Lösung für das Problem? :-??? Oder hat Mozilla den Firefox kaputt gesichert? :grr:

    Gruß
    Sebastian

    1. verstehe ich nicht warum. :-???

    2. Wird dir die Angabe https://10.31.255.101 nicht viel weiterhelfen.

    Wie gesagt, diese Websiten sind Mangement Seiten von Geräten oder Software (z.B. Switche VSP4450 oder ERS8800 von Avaya)
    Das die Zertifikate auf den Geräten nicht 100%ig valid sind ist mir klar - ich bisher gab es aber immer die Möglichkeit eine Ausnahme zu definieren. Diese Möglichkeit wurde mit den letzten Updates immer mehr kastriert - daher suche ich nach einer Möglichkeit wieder Ausnahmen für SSL/Zertifikatsfehler hinzufügen zu können.

    https://bugzilla.mozilla.org/show_bug.cgi?id=1042889

    Aus Kommentar #3:

    Zitat

    I think that mechanism of certificate validation in mozilla::pkix is too strong, but without notification of which part of certificate is invalid it is impossible to say why this happens. It is not a simply "regression". It is CRITICAL regression.

    Zitat von .Hermes

    Um den Problemfall u.U. nachstellen zu können.

    Ist ja wohl die Untertreibung des Jahrhunderts. Das ist doch eine private Adresse.

    Natürlich sind das private IP Adressen - es geht wie schon erwähnt um Management Websites im lokalen Netzwerk.

    Zitat von gammaburst

    https://bugzilla.mozilla.org/show_bug.cgi?id=1042889

    Aus Kommentar #3:

    Mhh wenn das schon als Bug erfasst ist haben das Problem wohl mehrere. Wobei ich die pkix Validierung ja eigentlich unter about:config abgeschalten habe - aber scheinbar tut der Paramenter auch nicht so wie er soll.

    Du kannst, damit du jetzt nicht bis Ende Monat warten musst, mal Firefox Nightly testweise installieren.
    Wenn es dort funktioniert, wird Firefox ab dem 18. November wieder wie erwartet funktionieren.

    Lass .Hermes, die sind einfach so drauf :) Mach einfach was sie wollen, dann helfen sie.

    https://nightly.mozilla.org/

    Danke für die Tipps - leider gehts mit der Nightly (36.0a1 (2014-10-20)) auch nicht - selbe Meldung.
    Es ist ja ok das die Zertifikate bemängelt werden - aber eine Umgehung sollte doch irgendwie möglich sein sollte man meinen.

    Ich benutz jetzt derweil Iron läuft zwar nicht so gut wie FF früher aber läuft zumindest... Muss ja irgendwie arbeiten ^^

    Danke
    Sebastian

    Hallo,

    wende dich bitte an den/die Hersteller der Anwendungen, welche ihre Produkte mit ungültigen Zertifikaten ausstatten. Es ist ärgerlich, wenn am Ende der Kunde eines Produktes unter den Folgen erhöhter Sicherheit leiden muss, aber der Hersteller wird es nicht lernen, wenn sich die Kunden nicht bei ihm über seine Fehler beschweren. Es ist nicht Mozillas Schuld, wenn die Anwendung bekannte Sicherheitsanforderungen nicht erfüllt.

    Zitat von sebmaus

    Wobei ich die pkix Validierung ja eigentlich unter about:config abgeschalten habe - aber scheinbar tut der Paramenter auch nicht so wie er soll.

    Dann liegt es wahrscheinlich auch nicht an mozilla::pkix. ;) Der Austausch dieser Bibliothek war und ist nicht die einzige Änderung bezüglich Zertifikate in Firefox, unsichere Algorithmen und Zertifikate mit unsicherer Signaturlänge werden auch nach und nach blockiert, um weitere Dinge zu nennen, welche sich ändern. Irgendwelche Änderungen gibt es da permanent.

    Zitat von heubergen

    Lass .Hermes, die sind einfach so drauf

    Mal vom Pluralis Majestatis abgesehen, was wolltest du damit ausdrücken ?

    Der Hinweis auf eine private Adresse wäre für die im Netzwerk nicht so bewanderten Helfer schon angebracht gewesen, ein schlappes "nicht viel weiterhelfen" ersetzt ihn nicht.

    Selbst der nachgeschobene Hinweis "Websites im lokalen Netzwerk" ist nichts sagend, weil private IP im lokalen Netzen üblich sind. Das sagt aber nichts über einen möglichen öffentlichen Zugang aus.

    Zitat von Sören Hentzschel

    Also was jetzt Nightly ist, wird Firefox 36 werden, der erscheint am 24. Februar 2015. Am 18. November ist keine Firefox-Veröffentlichung. Am 10. November erscheint Firefox 33.1, am 25. November erscheint Firefox 34 - letzterer ist als Beta-Version derzeit erhältlich.


    Ich sehe aber dass der verlinkte Patch zweiferlsfrei in Nightly eingeflossen ist, daher sollte er es testen. Das Datum ist ein Schätzwert da ich zum Beispiel bis heute das Aurora-Update noch nicht erhalten habe :(

    Zitat von .Hermes

    Mal vom Pluralis Majestatis abgesehen, was wolltest du damit ausdrücken ?...


    Ganz neutral ausgedrückt weil ich vielfach nicht deiner Meinung bin was deine Rückfragen angehen.
    Ausserdem trifft es ja nicht nur dich, sondern auch einige anderen Herren hier. Deshalb das Plural.

    Bezüglich des konkreten Falles: Ein Switch darf sicherheitstechnisch nicht über das Internet erreichbar sein, deshalb ist die Frage nach der Adresse eigentlich unnötig.

    Zitat von heubergen

    Ganz neutral ausgedrückt weil ich vielfach nicht deiner Meinung bin was deine Rückfragen angehen.

    Das macht nichts, weil ich einfach ein anderes Gedankengut hege als du.

    Zitat von heubergen

    Ich sehe aber dass der verlinkte Patch zweiferlsfrei in Nightly eingeflossen ist, daher sollte er es testen. Das Datum ist ein Schätzwert da ich zum Beispiel bis heute das Aurora-Update noch nicht erhalten habe :(

    Mir ging es konkret um den Zusammenhang Nightly-Version und dem Datum 18. November. Patches, die aktuell in der Nightly-Version landen, sind im Februar 2015 in Firefox. Wenn es um Patches geht, die in Firefox 34 sind, welcher im November erscheint, sollte eine Beta-Version getestet werden, die ist derzeit nämlich auf dem Stand von Firefox 34. ;)

    Zitat von Sören Hentzschel

    Hallo,

    wende dich bitte an den/die Hersteller der Anwendungen, welche ihre Produkte mit ungültigen Zertifikaten ausstatten. Es ist ärgerlich, wenn am Ende der Kunde eines Produktes unter den Folgen erhöhter Sicherheit leiden muss, aber der Hersteller wird es nicht lernen, wenn sich die Kunden nicht bei ihm über seine Fehler beschweren. Es ist nicht Mozillas Schuld, wenn die Anwendung bekannte Sicherheitsanforderungen nicht erfüllt.


    Dann liegt es wahrscheinlich auch nicht an mozilla::pkix. ;) Der Austausch dieser Bibliothek war und ist nicht die einzige Änderung bezüglich Zertifikate in Firefox, unsichere Algorithmen und Zertifikate mit unsicherer Signaturlänge werden auch nach und nach blockiert, um weitere Dinge zu nennen, welche sich ändern. Irgendwelche Änderungen gibt es da permanent.


    Schuldzuweisungen helfen mir leider nicht weiter.

    Das die Zertifikate als ungültig erkannt werden ist ja in Ordnung. Früher konnte man halt Ausnahmen definieren.
    Wäre halt gut wenn man einen Expertenmodus aktivieren könnte wie bei "about:config" halt auch - Frei nach dem Motto "ich weiß was ich tue".

    Eine anständige Zertifizierung bzw. Zeritifkatsinfrastruktur ist im Internet wünschenswert evtl. sogar zwingend. Im lokalen Netzwerk an Geräten/Websiten die nur für technisches Personal gedacht sind übersteigt hier der Nutzen den Aufwand.
    Es geht hier nur um Verschlüsselung A->B. Kein Austellercheck, keine Verifizierung der URL, Domaininhaber, grüne Adressleiste etc. Und dafür ist ein self-signed Zertifikat vollkommen ausreichend.

    Hinzu kommt das der Hersteller im Auslieferungszustand gar kein gültiges Zertifikat einspielen kann - also müsste zumindest zur Erstkonfiguation (und Austausch des Zertifikats) eine Ausnahme möglich sein.

    Im Heimbereich wirst du das Problem mit jedem Router haben der per https Website konfigurierbar ist.
    Denn das Zertifikat kann eigentlich gar nicht gültig sein!

    Zitat von Sören Hentzschel

    Mir ging es konkret um den Zusammenhang Nightly-Version und dem Datum 18. November. Patches, die aktuell in der Nightly-Version landen, sind im Februar 2015 in Firefox. Wenn es um Patches geht, die in Firefox 34 sind, welcher im November erscheint, sollte eine Beta-Version getestet werden, die ist derzeit nämlich auf dem Stand von Firefox 34. ;)

    Wie gesagt die Nightly geht leider auch nicht :(
    Scheinbar werden allgemein keine Self-Signed Zertifikate mehr unterstützt. Was aber durchaus unpraktisch ist für Testszenarien, etc.

    Zitat von sebmaus

    Schuldzuweisungen helfen mir leider nicht weiter.

    Es ging in dem Teil absolut nicht um Schuldzuweisungen, sondern darum, dass der Hersteller/Entwickler/wer auch immer das notwendige Feedback bekommt, um auf das Problem aufmerksam zu werden und es schließlich zu beheben. Und wenn schon nicht für bestehende Dinge dann wenigstens für kommende. Denn…

    Zitat von sebmaus

    Scheinbar werden allgemein keine Self-Signed Zertifikate mehr unterstützt. Was aber durchaus unpraktisch ist für Testszenarien, etc.

    … dem ist definitiv nicht so, hier bei mir laufen auch selbst signierte Zertifikate im Firmen-Intranet. Es muss also konkret am Zertifikat liegen, es ist auf keinen Fall so, dass das generell nicht mehr funktioniert.

    Du kannst natürlich auch selbst einen Bug bei Mozilla anlegen und das Problem beschreiben. Eventuell bekommst du dann ja (keine Garantie) eine Rückmeldung von einem Firefox-Entwickler, was in deinem Fall das Problem ist: https://bugzilla.mozilla.org/

    Die Chancen stehen natürlich nicht so optimal, wenn nicht öffentlich darauf zugegriffen werden kann, aber vielleicht gibt es ja Möglichkeiten, an mehr technische Details zu gelangen…

    Letztlich gibt es ja nur den Entwickler dieser Lösung sowie Mozilla, die etwas tun können… Wir in diesem Forum können weder etwas ändern noch können wir testen und konkret etwas dazu sagen ohne selbst zugreifen zu können…

    Zitat von heubergen

    Lass .Hermes, die sind einfach so drauf :) Mach einfach was sie wollen, dann helfen sie.


    Dürfen wir dir auch nachtreten, wenn es passt? Leiser stünde dir grad besser.

    @Sören, warum wird es 33.1 geben?

    PS Iron ist ein Chrome-Abklatsch, der mangelhaft aktualisiert wird.

    Zitat von Bernd.

    @Sören, warum wird es 33.1 geben?

    Anlässlich des zehnten Geburtstages von Firefox wird es einen Release außer der Reihe geben, nebst 64-Bit-Beta, Firefox Developer-Edition, Events (auch in Berlin veranstalten wir was), Marketing in Zeitungen, Social Media-Kampagnen. Über die Neuerungen von Firefox 33.1 will ich öffentlich nicht zu viel verraten (teilweise noch vertraulich), aber das große Thema, was alles umspannt, ist Privatsphäre.

    Zitat von Sören Hentzschel

    Über die Neuerungen von Firefox 33.1 will ich öffentlich nicht zu viel verraten

    I.e. nondisclosure agreement.
    Darum habe ich dich ja in einem anderen Thread nicht nach dem Link gefragt.