HTTPS/SSL Fail bei falscher Systemzeit

    Wenn die Systemzeit am User-Gerät falsch eingestellt ist, vielleicht sogar mit einer Absicht, dann funktionieren Webseiten mit HTTPS/SSL Verschlüsselung nicht mehr, wenn die Zeit außerhalb der Gültigkeit der Zertifikate liegt.


    Firefox holt nicht die Zeit von einem validen Zeitserver, sondern vom User-Gerät. Das ist nicht DAU-sicher.


    Beispiel https://www.camp-firefox.de mit Datum 23. November 2017 am User-Gerät:


    Was weiß ich.
    Es gibt auch Gründe, die Systemzeit am eigenen PC zu ändern. Dann sind aber Webseiten mit SSL-Verschlüsselung nicht mehr erreichbar, wenn die Zeit außerhalb der Cert-Gültigkeit liegt. Allein dass Browser die Cert-Gültigkeit an der Systemzeit des User-PC festmachen ist schon fragwürdig.

    Mir fällt kein einziger Grund ein, die Systemzeit am eigenen PC zu ändern.


    Und die Gültigkeit eines Zertifikats hängt nicht alleine an der Systemzeit, aber es ist ein Kriterium und natürlich reicht ein fehlgeschlagenes Kriterium aus, damit ein Zertifikat nicht mehr gültig ist.


    Im Übrigen verhalten sich auch andere Browser wie Chrome so. Das hat mit Firefox also nichts zu tun. Wäre ja auch schlecht, wenn es anders wäre. Ansonsten müsste bei jedem (!) Seitenaufruf (nicht nur bei erstem, sondern bei wirklich jedem) eine zusätzliche Anfrage über das Internet gesendet werden, nur für das Datum und die Uhrzeit. Zumal nicht einmal jedes System ans Internet angeschlossen ist, man kann Browser auch offline nutzen, wie in einem Intranet. Auch da gibt es Verschlüsselung. Fragwürdig, um deine Formulierung aufzugreifen, wäre also eher, es nicht so zu machen.

    Zitat von klra


    Firefox holt nicht die Zeit von einem validen Zeitserver, sondern vom User-Gerät. Das ist nicht DAU-sicher.


    Im Gegenteil. Das System, das du hier als User-Gerät bezeichnest, holt sich die Zeit von mindestens einem NTP-Server (hier sind es drei), und alle Anwendungen des Systems arbeiten mit synchroner Zeit.

    Zitat von klra

    Es gibt auch Gründe, die Systemzeit am eigenen PC zu ändern.

    Diese liegen aber in einer gewissen Grauzone.

    Zitat von Sören Hentzschel

    Mir fällt kein einziger Grund ein, die Systemzeit am eigenen PC zu ändern.


    Gucke dir bitte mal https://www.camp-firefox.de/forum/viewtopic.php?f=3&t=77971 an, diese Klamotten hängen bei der Installation von der Systemzeit ab. Verpennt man die Zeit darf man das System umstellen.
    Für mich eine total unbrauchbare Software, bzw. Verteilung selbiger.

    Gut, dass es so einen Käse bei keiner Software gibt, die ich verwende. Die Systemzeit umzustellen ist für mich ein absolutes No-Go. Und das ist schon eine ziemlich naive Implementierung eines zeitlich begrenzenten Angebotes, viel zu einfach umgehbar. Da bin ich dann direkt skeptisch, was die sonstige Qualität des Produkts betrifft. ;)