HTTPS/SSL Fail bei falscher Systemzeit

klra

Wenn die Systemzeit am User-Gerät falsch eingestellt ist, vielleicht sogar mit einer Absicht, dann funktionieren Webseiten mit HTTPS/SSL Verschlüsselung nicht mehr, wenn die Zeit außerhalb der Gültigkeit der Zertifikate liegt.

Firefox holt nicht die Zeit von einem validen Zeitserver, sondern vom User-Gerät. Das ist nicht DAU-sicher.

Beispiel https://www.camp-firefox.de mit Datum 23. November 2017 am User-Gerät:

Zitat

Diese Verbindung ist nicht sicher
Der Inhaber von https://www.camp-firefox.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Weitere Informationen…
Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen
https://www.camp-firefox.de verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat ist am Donnerstag, 25. Mai 2017 03:01 abgelaufen. Die aktuelle Zeit ist Freitag, 23. November 2017 10:31.
Fehlercode: SEC_ERROR_EXPIRED_CERTIFICATE

Alles anzeigen

Boersenfeger

Was möchtest du dem Forum damit mitteilen?
Welchen Grund sollte es geben, absichtlich die Systemzeit zu verstellen? Welcher DAU kann dies? :-??

klra

Was weiß ich.
Es gibt auch Gründe, die Systemzeit am eigenen PC zu ändern. Dann sind aber Webseiten mit SSL-Verschlüsselung nicht mehr erreichbar, wenn die Zeit außerhalb der Cert-Gültigkeit liegt. Allein dass Browser die Cert-Gültigkeit an der Systemzeit des User-PC festmachen ist schon fragwürdig.

Sören Hentzschel

Mir fällt kein einziger Grund ein, die Systemzeit am eigenen PC zu ändern.

Und die Gültigkeit eines Zertifikats hängt nicht alleine an der Systemzeit, aber es ist ein Kriterium und natürlich reicht ein fehlgeschlagenes Kriterium aus, damit ein Zertifikat nicht mehr gültig ist.

Im Übrigen verhalten sich auch andere Browser wie Chrome so. Das hat mit Firefox also nichts zu tun. Wäre ja auch schlecht, wenn es anders wäre. Ansonsten müsste bei jedem (!) Seitenaufruf (nicht nur bei erstem, sondern bei wirklich jedem) eine zusätzliche Anfrage über das Internet gesendet werden, nur für das Datum und die Uhrzeit. Zumal nicht einmal jedes System ans Internet angeschlossen ist, man kann Browser auch offline nutzen, wie in einem Intranet. Auch da gibt es Verschlüsselung. Fragwürdig, um deine Formulierung aufzugreifen, wäre also eher, es nicht so zu machen.

.Hermes

Zitat von klra

Firefox holt nicht die Zeit von einem validen Zeitserver, sondern vom User-Gerät. Das ist nicht DAU-sicher.

Im Gegenteil. Das System, das du hier als User-Gerät bezeichnest, holt sich die Zeit von mindestens einem NTP-Server (hier sind es drei), und alle Anwendungen des Systems arbeiten mit synchroner Zeit.

Zitat von klra

Es gibt auch Gründe, die Systemzeit am eigenen PC zu ändern.

Diese liegen aber in einer gewissen Grauzone.

Zitat von Sören Hentzschel

Mir fällt kein einziger Grund ein, die Systemzeit am eigenen PC zu ändern.

Gucke dir bitte mal https://www.camp-firefox.de/forum/viewtopic.php?f=3&t=77971 an, diese Klamotten hängen bei der Installation von der Systemzeit ab. Verpennt man die Zeit darf man das System umstellen.
Für mich eine total unbrauchbare Software, bzw. Verteilung selbiger.

Sören Hentzschel

Gut, dass es so einen Käse bei keiner Software gibt, die ich verwende. Die Systemzeit umzustellen ist für mich ein absolutes No-Go. Und das ist schon eine ziemlich naive Implementierung eines zeitlich begrenzenten Angebotes, viel zu einfach umgehbar. Da bin ich dann direkt skeptisch, was die sonstige Qualität des Produkts betrifft.