Firefox und TLS-Zertifikate

    Firefox-Version
    78
    Betriebssystem
    Windows

    Hallo,

    wir nutzen Webanwendungen im Intranet und haben Domainzertifikate erstellt. Diese liegen auch im Zertifikatsspeicher von Firefox ("Sie haben eine Sicherheitsausnahme für diese Webseite hinzugefügt"). Trotzdem ist das Schloss mit einem Ausrufezeichen versehen "Verbindung nicht sicher" und "Sie kommunizieren mit dieser Seite über eine ungesicherte Verbindung". Ist die Übertragung jetzt verschlüsselt oder nicht? Wie vermeide ich diese Fehlermeldungen?

    (Der selbe Seitenaufruf mit Chrome funktioniert fehlerfrei.)

    Danke für Hinweise

    Wie wurden die Domain-Zertifikate signiert? Ist diese Signierung-Instanz teile der Zertifikat-Kette im Firefox bzw. im Zertifikat-Speicher von Windows? Nutzt der Firefox diesen dann auch?

  • Sören Hentzschel 10. Juli 2020 um 09:32

    Hat den Titel des Themas von „Firefox und SSL-Zertifikate“ zu „Firefox und TLS-Zertifikate“ geändert.

    @u674525

    Wenn ich "... im Intranet" lese, klingt mir das wie ein Firmennetz. Liege ich da richtig? Ich gehe einfach mal davon aus.

    Das Einrichten einer so genannten Ausnahmegenehmigung ist zwar eine "allgemein übliche" aber trotzdem eine Krückenlösung. Wenn im privaten Heimnetz mal der Drucker oder der Router ein selbstsigniertes Zertifikat nutzt, ist das genau die funktionierende Lösung für den ONU.

    In einem Firmenumfeld funktioniert das zwar auch, ist aber IMHO <na ja ...>.

    Vorschlag für eine bessere Lösung (welche im reinen Firmennetz, privaten Heimnetz oder "unter Freunden" perfekt ist:

    Du spielst selbst CA!

    Dazu installierst du dir das kleine und feine Programm "XCA". Das ist ein Programm, welches fast selbsterklärend eine semiprofessionelle CA mit vielen Templates für die Generierung von CA-, S/MIME- und diversen Server-Zertifikaten anbietet.

    Dort stellst du zuerst aktuelle und zukunftsträchtige Werte für die Schlüssellänge und die Signaturfunktion ein und erzeugst eine eigene CA. Und dann erzeugst du für alle zu versorgende Server jeweils ein eigenes Schlüsselpaar und signierst dieses mit dem secret key der angelegten CA. (noch mal: alles selbsterklärend ...)

    Und das Zertifikat der CA (also die als .cer oder auch .pem exportierte Datei mit dem public key + den üblichen Zertifikatsdaten) wird dann an alle Rechner innerhalb des Intranets oder an alle Berechtigten, welche Zugriff haben sollen, verteilt, importiert und dieser CA das Vertrauen ausgesprochen. => einmaliger Vorgang aller ~15 Jahre.

    Und wenn du das alles genau so gemacht hast, kannst du "beliebig vielen" Servern (oder auch S/MIME-Nutzern für den internen Verkehr) jeweils ein eigenes Zertifikat (exportiert als .p12 oder .pfx, also mit secret key) verpassen.

    Selbstverständlich ist es heutzutage üblich, Zertifikate von LE zu nutzen, aber für reinen Zugriff aus dem Intranet ist das absolut unnötig (bzw. funktioniert ohne zumindest temporärem Zugriff aus dem "bösen Netzt" so wie so nicht.)


    MfG Peter