Zertifikatsüberprüfung abschalten?

  • Hallo,

    kann ich irgendwie die Zertifikatsüberprüfung im Firefox 3.0.1 komplett ausschalten?
    Also dass Firefox bei irgendwie ungültigen Zertifikaten (abgelaufen / Stammzertifikat fehlt / cn stimmt nicht überein) nicht mehr warnt oder abbricht?
    Oder ist ein solcher Schalter ganz bewusst nicht integriert (um Missbrauch zu verhindern)?

    Gruß,
    franc

    Edit: Gelöst, siehe mein Posting in diesem Thread vom Do, 18. Dez 2008 22:36 (Seite 3)

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

    Einmal editiert, zuletzt von franc (19. Dezember 2008 um 12:28)

  • franc fragte Folgendes:

    Zitat

    kann ich irgendwie die Zertifikatsüberprüfung im Firefox 3.0.1 komplett ausschalten?[...]


    Erweitert - Sicherheit - Zertifikate > "Jedesmal fragen" abschalten. (Soweit ich hier richtig informiert bin).

    [OT]Der Ansatz ist nicht falsch. Sofern Du professionell nicht auf solche vertrauenswürdigen Evaluationen (Zertifikate) angewiesen sein solltest, benutze bezüglich des Besuches vertrauenswürdiger Webangebote eher Deinen gesunden Menschenverstand. Zertifikate sind - meiner Ansicht nach - im privatwirtschaftlichen Bereich - ohnehin entbehrlich, da solche als vertrauenswürdig ausgelegten Gegenstellen einer Kommunikation leider nicht immer vor Fälschungen (Manipulationen) gefreit sind. Der eingesetzte Browser vermag daher auch nicht immer genau zwischen einem MITM-Angriff (Mittelsman-Angriff) oder einem legitimierten Partner, als vertrauenswürdige Gegenstelle, zu unterscheiden.

    Die Vertrauenswürdigkeit der zugrundeliegenden asymmetrischen Kryptosysteme (Verschlüsselungsverfahren) solcher digitalen Signaturen "hinkt" - meiner Ansicht nach - somit leider auch stets der Vertrauenswürdigkeit der unterschiedlichen "Ausstellungsverfahren" hinterher. (Quelle > Übertragung > Empfänger).


    Oliver

  • Zitat von Oliver222


    Erweitert - Sicherheit - Zertifikate > "Jedesmal fragen" abschalten. (Soweit ich hier richtig informiert bin).

    WO soll das sein?
    Ich meine den Firefox, nur um Missverständnisse auszuschliessen...

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Zitat von Oliver222


    Erweitert - Sicherheit - Zertifikate > "Jedesmal fragen" abschalten.

    Aber ich kann "Jedesmal fragen" nicht abschalten. Nur umschalten auf "automatisch eins wählen".
    Das ist also nicht die Lösung.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Zitat von HePe

    Da häng ich mich mal dazu, denn ich habe das gleiche Problem!


    Wenn niemand etwas anderes behauptet, sage ich mal abschließend, dass man die Zertifikatsüberprüfung im Firefox einfach nicht abschalten kann.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Zitat von franc

    Aber ich kann "Jedesmal fragen" nicht abschalten. Nur umschalten auf "automatisch eins wählen".
    Das ist also nicht die Lösung.


    Das Bild von GA zeigt Dir, dass Du zunächst auf "Validierung" klicken musst, um dann OCSP abzuschalten.

    FX 3.6.28/Mac OS X (10.4.11)
    FX 24.0/Mac OS X (10.6.8 )
    FX 24.0/Mac OS X (10.8.3)

  • Zitat von ie_veraechter

    ...dass Du zunächst auf "Validierung" klicken musst, um dann OCSP abzuschalten.


    Was aber leider nicht dazu führt, dass Zertifikate grundsätzlich nicht geprüft werden. Mit OCSP kann man ja nur prüfen, ob das Zertifikat als gesperrt gemeldet wurde.

    Gegen z.B. diese Fehlermeldung:

    Sichere Verbindung fehlgeschlagen
    xy verwendet ein ungültiges Sicherheitszertifikat.
    Das Zertifikat gilt nur für folgende Namen:
    xyz
    (Fehlercode: ssl_error_bad_cert_domain)

    gibt es keinen Schalter. Das ist nicht vorgesehen, dass man diese Prüfung umgeht (wenigstens kann man "... eine Ausnahme hinzufügen")
    Leider, weil ich mag es an einem Programm, wenn ich alles einstellen kann.
    Auch wenn die Autoren denken, es sei nicht sinnvoll.
    Aber sie können eben nicht an alles denken :)

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Die Zertifikatsprüfung läßt sich nicht abschalten. Aber das hinzufügen von Ausnahmen läßt sich in about:config vereinfachen:

    Code
    browser.xul.error_pages.expert_bad_cert  true
    browser.ssl_override_behavior  2
  • Zitat von Junker Jörg

    Aber das hinzufügen von Ausnahmen läßt sich in about:config vereinfachen


    Danke, das ist schon mal was.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Ja, das wird oben in einer Kopfzeile eingeblendet:

    Warning: Perspectives received no notary replies. This may be an attack or you may be behind a firewall/proxy that blocks notary requests.

    Ich bin natürlich hinter einer Firwall.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • franc erwiderte Folgendes:

    Zitat

    WO soll das sein?
    Ich meinte den Firefox, nur um Missverständnisse auszuschliessen...


    Das Du im Zuge Deines Antrages den FF(3) meintest, stand im Vorfeld nicht zur Disposition. Dennoch hast Du hier, bezüglich Deiner Anfrage leider - meiner Ansicht nach - Recht...

    Die Zertifikats-Überprüfung unter FF3 lässt sich i.d.T. nicht komplett deaktivieren und kann daher auch - auf Basis der von FF3 bevorzugten EV-SSL-Zertifikate - unnötige Fehlermeldungen verursachen (“sec_error_untrusted_issuer”). Dies stellt - meiner Ansicht nach - eine Tatsache dar, die somit u.A. in Folge Unsicherheiten innerhalb unerfahrener Anwender streuen könnte, sowie darüberhinaus vereinzelten vertrauenswürdigen Instituten (z.B. kleinen Universitäten) - bezüglich solcher Wurzelzertifikatsverfügungen - nur unnötiges Geld kosten würden.

    Hinzu gesellt sich obendrein noch erschwerend der Umstand, dass der FF3 das "Online Certificate Status Protokoll" (OCSP) solcher gesicherten Gegenstellen (z.B. der Telekom) bisher nicht komplett in seine Überprüfung integrieren konnte - bzw. solche "vertrauenswürdigen" Gegenstellen sich im Gegensatz dazu wiederum nicht immer an den OCSP-Standard hielten. Diese Umstände stellen - meiner Ansicht nach - daher z.Z. ein unkoordiniertes temporäres Schnittstellenproplem zwischen dem FF3 und den gesicherten Webangeboten dar, wobei sich der FF3 hierbei, bezüglich seiner Sicherheitsüberprüfung - am Bedarf vorbei - leider "zu weit aus dem Fenster" lehnt.

    Zuguterletzt ist der FF3 darüberhinaus bedauerlicherweise auch nicht in der Lage, schwache Zertifikate auf ihren bereits gestellten Widerruf hin zu überprüfen, was diesen Zertifikats-Wahnsinn - meiner Meinung nach - alleine schon in das ad-absurdum führt.


    a. Downgrade auf Version 2.

    b. Opera oder IE.


    franc stellte darüberhinaus Folgendes dar:

    Zitat

    Ich bin natürlich hinter einer Firwall.


    Weisst Du auch, was diese mit den Protokollen IKE, AH und ESP - und zwar bezüglich der Zeitstempel so eines "rootcert"- Zertifikates so alles anstellen kann?


    Oliver

  • Zitat von Oliver222

    franc stellte darüberhinaus Folgendes dar:


    Weisst Du auch, was diese mit den Protokollen IKE, AH und ESP - und zwar bezüglich der Zeitstempel so eines "rootcert"- Zertifikates so alles anstellen kann?
    Oliver

    Interessante Ausführung von Dir. Kannst Du noch etwas bezüglich Deiner rhet. Frage von oben schreiben ? Wäre nett ;)

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)