Zertifikatsüberprüfung abschalten?

  • Zitat von HePe

    Im Gegensatz dazu, lässt der Internet Explorer nach einem Warnhinwies die Seite zu!

    Häh? Was heißt hier im Gegensatz? In FF kann man die Seite auch zu den Ausnahmen hinzufügen, und sie funktioniert dann. Und wenn man die von mir geposteten Änderungen in about:config macht, ist es auch nicht mehr so kompliziert.

    Zitat von franc

    Ich bin natürlich hinter einer Firwall.

    Kannst du sie konfigurieren? Dann gib mal den entsprechenden Port frei:

    Zitat von http://www.cs.cmu.edu/~perspectives/index.html#firewall

    To minimize load on notaries, clients contact notaries using a lightweight (but still secure) protocol using UDP port 15217.

    Zukünftige Versionen sollen dieses Problem umgehen:

    Zitat von http://www.cs.cmu.edu/~perspectives/index.html#firewall

    In the future, we are looking to add simple HTTP proxy functionality to Perspectives to get around this issue.

  • Zitat von Oliver222

    franc erwiderte Folgendes:


    Das Du im Zuge Deines Antrages den FF(3) meintest, stand im Vorfeld nicht zur Disposition.


    Haldemal, haldemal, ich schrieb eingangs brav:

    kann ich irgendwie die Zertifikatsüberprüfung im Firefox 3.0.1 komplett ausschalten?

    Darauf berufe ich mich dann natürlich im Weiteren.

    Jörg: Leider kann ich nicht auf die Firewall zugreifen.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • Also dann bitte jetzt wieder, so wie eingangs gefragt:
    der Firefox 3.0.1 ist (immer) gemeint und nicht der 2.0.16, auch nicht der 1.x.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack

  • liracon frage Folgendes:

    Zitat

    [...]Kannst Du noch etwas bezüglich Deiner rhet. Frage von oben schreiben?[...]


    Eine Firewall; ein Router; bzw. auch ein Sicherheitsgateway, der ja als Sicherheits-Schnittstelle mit dem Internet verbunden ist und somit für Computer in einem Perimeternetzwerk (DMZ) als Schutz eine Paketfilterung bereitstellt, müsste in Konsequenz daher auch eine spezielle Filterung aktivieren, welche eingehenden Paketen - die im Vorfeld über das IPSec-Protokoll gesichert wurden - somit die Weiterleitung an Computer des Intranetzes ermöglicht.

    Per Default-Einstellungen so einer FW ist so eine Filteraktion - meiner Ansicht nach - jedoch nicht immer vorgegeben.

    Da IPsec (ESP / AH / IKE) einen festen Bestandteil des IP / UDP-Transportprotokolls - und zwar auf Basis der Vermittlungsschicht (Internet Layer) des TCP/IP Protokollstapels selber darstellt (was dem Level 3 der OSI-Schicht entspricht) - hat die IPSec-Richtlinie daher mit propietären Verschlüsselungsmethoden (also der Gegenstellenabsicherungen) über eine zertifikatsbasierte Authentifizierung auch nicht viel gemein.

    Hoffentlich bin ich hier Deiner Anfrage einigermassen gerecht geworden ;)


    Oliver


    http://www.net.informatik.tu-muenchen.de/teaching/WS02/…07ausarbeit.pdf
    http://www.microsoft.com/germany/techne…tter/ipsec.mspx

  • Zitat von Oliver222

    ... ist so eine Filteraktion - meiner Ansicht nach - jedoch nicht immer vorgegeben.

    Kann ich insoweit bestätigen, bei Cisco (FW-only) sind einige Set eingerichtet und per default aktiv, wobei diese jedoch kein klassisches Consumer-Produkt ist, sondern schon dem prof. Einsatz zuzuordnen wäre.

    Zitat von Oliver222


    Hoffentlich bin ich hier Deiner Anfrage einigermassen gerecht geworden ;)

    Absolut, vielen Dank. Ein sehr interessantes Thema, auch die beiden Links beinhalten guten Lesestoff.

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Zitat von Junker Jörg

    Die Zertifikatsprüfung läßt sich nicht abschalten. Aber das hinzufügen von Ausnahmen läßt sich in about:config vereinfachen:

    Code
    browser.xul.error_pages.expert_bad_cert  true
    browser.ssl_override_behavior  2

    Das hilft bei mir nicht.
    Es kommt immer nur die Warnung

    [Blockierte Grafik: http://www.holgerhahn.de/Bilder/FF-Zertifikatswarnung.jpg]

    Im FF 3.0.0 konnte man in dem Warnhinweis direkt einen Ausnahme hinzufügen.
    Jetzt im FF 3.0.3 muss man umständlich über Einstellungen/Erweitert/Verschlüsselung/Zertifikat anzeigen/Ausnahme hinzufügen gehen.

  • Kann ich so nicht bestätigen. Funktioniert auch in 3.0.3. Da bei dir aber so ein Alarm erscheint, überprüfe mal, ob

    Code
    browser.xul.error_pages.enabled true

    eingestellt ist (ist eigentlich Standard).

  • Zitat von Junker Jörg

    Da bei dir aber so ein Alarm erscheint, überprüfe mal, ob

    Code
    browser.xul.error_pages.enabled true

    eingestellt ist (ist eigentlich Standard).

    Stand bei mir auf "false".
    Jetzt funktioniret es!
    Danke!

  • und alle Ratschläge hier ausprobiert.

    Der Witz ist, dass wenn ich das Zertifikat der nicht geöffneten Seite (weil Sicherheitszertifikat ungültig) herunterlade und damit zu den Ausnahmen hinzufügen will ich die dämliche Antwort bekomme, dass das Zertifikat gültig sei und es keinen Grund gäbe, es zu den Ausnahmen hinzuzufügen.

    Irgendwann lande ich beim IE ... dort kann ich die Seite sehen, wenn ich den Warnhinweis "wegklicke".

    Gibt es wirklich keine Möglichkeit diesen Unfug abzuschalten - ich weiß sehr wohl, welche Seiten ich ansteuere und welche nicht!
    Die betroffene Seite ist "DIE RHEINPFALZ" eine Lokalzeitung!

  • Fred Lumaho stellte das Folgende dar:

    Zitat

    [...]Der Witz ist, dass wenn ich das Zertifikat der nicht geöffneten Seite (weil Sicherheitszertifikat ungültig) herunterlade und damit zu den Ausnahmen hinzufügen will(,) ich die dämliche Antwort bekomme, dass das Zertifikat gültig sei und es keinen Grund gäbe, es zu den Ausnahmen hinzuzufügen.


    "Ausnahme definieren" (FF3 links unten). Daraufhin müssten solche Web-Seiten - unabhängig vom OS - "sichtbar" werden. Dein Problem wurde hier (und woanders auch), bereits schon hingebungsvoll ausdiskutiert. Keinem Zertifikat lässt sich dabei wirklich trauen...


    Gilt auf Deinem System - auf Basis des FF3´s - vielleicht eine verschlüsselte Kommunikation? Solche Seiten lassen sich - nach meinem Wissen - innerhalb der Browser-Optionen einzelnd definieren und somit auch ausschliessen. (Blacklisting).


    [individueller Ausschluss (SSL):]


    * Menüpunkt “Extras” klicken
    * Reiter “Verschlüsselung” klicken
    * Button “Zertifikate anzeigen” klicken
    * Button “Ausnahme hinzufügen” klicken
    * URL der betroffen Seite eingeben
    * Button “Zertifikat herunterladen” klicken
    * Button “Sicherheits-Ausnahmeregel bestätige” klicken
    * Fertig!


    Es gibt - nach meinen bisherigen Informationen - allerdings auch eine bereits bekannte allgemeine Einstellung, mit der man unter FF3 etwaige SSL-Ausnahmen einfacher abschalten kann. Dazu sollte man jedoch schon sehr genau verstanden haben, welches Sicherheitsrisiko man durch das Einspeisen unbekannter Zertifikate eingehen könnte, sofern sich solche SSL-Verifikationen nicht auf anderen Wege hin autorisieren lassen können. Platt ausgedrückt, geht es bei solchen Diskussionen - meiner Ansicht nach - nicht zuletzt auch um einen Haftungsausschluss (die Kapitalstellen der Zertifikatsaussteller) des FF´s gegenüber seinen (teilweise unerfahrenen) Anwendern selber - und zwar in Bezug auf die "Zertifikatsketten" und deren Abhängigkeiten (Derivate).


    [globaler Ausschluss (SSL):]


    - "about:config" oben in der URL-Adresszeile des Browsers eingeben.
    - "browser.xul.error_pages.expert_bad_cert" eingeben und auf "true" setzen.
    - "browser.ssl_override_behavior" dann abschliessend auf "2" setzen.


    Oliver


    http://kb.mozillazine.org/Browser.ssl_override_behavior
    http://www.tu-harburg.de/rzt/it-sicherh…ertifikate.html

  • Ich hatte diese Änderung inder config ja gemacht, aber es half nichts. Nun habe ich zurückgeändert, denn die betroffene Seite funktioniert wieder, auch nach der Änderung auf "Standard" - ich vermute, dass da in der zuständigen Abteilung der Tageszeitung jemand etwas gemerkt hat bzw. aufmerksam gemacht wurde.

    Vielen Dank!!!!

  • Hallo, endlich habe ich eine Erweiterung (Addon) gefunden, die die lästige Zertifikatsabwink-Klickorgie wirklich abkürzt:

    Das MitM Me (SSL Error Bypass):

    https://addons.mozilla.org/de/firefox/addon/6843

    Damit kriegt man bei einem "ungültigen" Zertifikat nur noch die Fehlermeldung

    Sichere Verbindung fehlgeschlagen

    Dort befindet sich ja dann unten rechts der Button:

    Ausnahme hinzufügen...

    Und wo vorher noch das Fenster:

    Sicherheits-Ausnahmeregel hinzufügen

    stand, und man noch das Zertifikat herunterladen musste, kommt man jetzt ohne dieses Fenster sofort weiter und die Seite wird automatisch hinzugefügt. Also vergleichbar mit dem IE.

    Firefox immer aktuelle Version auf Windows 11 Enterprise (64-Bit) und OS X 10.15 mit DosDude1-Hack