Firefox SSL Zertifikatsproblem

  • Hallo zusammen,

    wir haben seit kurzem ein Problem in Firefox mit von uns selbst erstellten/ausgestellten SSL-Zertifikaten.
    Firefox scheint diese seit kurzem nicht mehr zu akzeptieren, obwohl es bisher wunderbar funktionierte.
    Weiß jemand evtl. sofort wieso?

    Unsere Zertifikate wurden mit OpenSSL unter Linux erstellt und haben keine Root CA.
    Wir verteilen die Zertifkate normal über GPO und speichern diese bei jedem Client in die Vertrauenswürdigen Stammzertifizierungstellen.
    In Firefox haben wir die Option security.enterprise_roots.enabled unter about:config auf true.
    Internet Explorer und Edge akzpetieren diese Zertifikate nach wie vor.

    Es erscheint seit neuestem folgender Fehler:
    [attachment=0]Fehler.JPG[/attachment]

  • Sind es den über Symantec und Co ausgestellte Zertifikate? Diese werden nicht mehr akzeptiert.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Hallo,

    das hängt damit zusammen https://www.chip.de/news/Wegen-Pro…_161026667.html .

    Zitat

    Einer ersten Analyse zufolge haben vor allem Nutzer der kostenlosen Virenscanner Avast Free Antivirus sowie AVG Free Anti-Virus Probleme mit dem aktuellen Firefox 65; beide Virenscanner kommen vom gleichen Anbieter und teilen sich den technischen Unterbau. Dabei soll eine Komponente im Web-Schutz, die für das Scannen von HTTPS-Verbindungen zuständig ist, nicht korrekt arbeiten.
    Betroffene Nutzer können das HTTPS-Scanning in beiden Virenscannern deaktivieren. Alternativ kann man auch auf einen anderen Browser ausweichen. Firefox will das Problem jetzt untersuchen und möglicherweise mit einem Patch beheben. Auch für Avast und AVG soll bereits ein Fix in Arbeit sein.

    Ist seit einigen Tagen auch auf anderen Seiten zu lesen.

    Gruß : Tomba
    Firefox 690 (64 Bit), Windows 10 Pro 1903 (64 Bit), Malwarebytes Free

  • Steht doch im Text, warum es nicht akzeptiert wird: self signed, kein pkix. Firefox findet keine Gegenstelle, um das Cert zu prüfen und verwirft es. War klar, dass das kommen wird. Dabei sind Zertifikate mit Gegenstelle gar nicht so teuer. Da muss Admin sich noch mal auf den Hosenboden setzen und nachlernen.

    https://bugzilla.mozilla.org/show_bug.cgi?id=1452411

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Soviel ich weiß, werden selbstsignierte Zertifikate erst einmal als unsicher angesehen. Man kann aber eine Ausnahme hinzufügen. Wenn es sich um einen internen Webserver handelt, so wie vom TE geschrieben, dürfte das auch kein Problem sein.

    https://support.mozilla.org/de/kb/fehlerme…rte-zertifikate

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Hallo zusammen nochmal,

    habe das Problem mittlerweile selbst lösen können.
    Habe einfach selbst eine CA aufgemacht und stelle nun als Root-CA selbst meine Zertifikate für uns und unsere Kunden aus.
    Die Kunden müssen dann hald selbst unser Root-Zertifikat per GPO verteilen intern.
    Funktioniert aber einwandfrei.

    Hier ein paar nützliche Befehle zum erstellen mit OpenSSL unter Linux:

    Code
    openssl genrsa -out RootCA.key 4096
    openssl req -x509 -new -nodes -key RootCA.key -sha512 -days 10950 -out /root/RootCA.crt -subj "/C=DE/ST=Bayern/O=XXX GmbH/CN=XXX GmbH CA"
    openssl genrsa -out brp-server.key 4096
    openssl req -new -key brp-server.key -out brp-server.csr -subj "/C=DE/ST=Bayern/O=XXX GmbH/CN=brp-server" -reqexts SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:brp-server"))
    openssl x509 -req -in brp-server.csr -CA /root/RootCA.crt -CAkey RootCA.key -CAcreateserial -out /root/brp-server.crt -days 3650 -sha512