Zertifikat importiert, Fehlermeldung: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

    In die Zertifizierungsstellen von Firefox habe ich das Zertifikat meiner Fritzbox importiert und ihm dass volle Vertrauen gegeben. Trotzdem kommt immer noch eine Warnung jedes Mal, wenn ich mich per HTTPS-Zugang zu meiner Fritzbox verbinden will:

    Diese Verbindung ist nicht sicher
    xxxx.myfritz.net verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
    Fehlercode: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY
    Ausnahme hinzufügen...

    Eine teilweise Erklärung habe ich hier [1] gefunden.

    Beim Importieren des Zertifikats in die Vertrauenswürdigen Stammzertifizierungsstellen von Windows 10 und bei Benutzung von edge, um mich zu meiner Fritzbox zu verbinden, passiert mir das nicht. Da bekomme ich keine Warnungen mehr.

    Warum macht Firefox diesen Unterschied? Warum warnt Firefox weiterhin vor Verbindungen, die mit einem Zertifikat abgesichert sind, das eine basic constraint extension hat?

    [1]
    https://wiki.mozilla.org/SecurityEngineering/x509Certs

    Was ist denn das für eine Fritz!Box ? Ich habe bisher zwei eigene Modelle gehabt und andere kennen gelernt, aber bei keinem davon hatte ich je Probleme mit dem Zertifikat. Alternativ kannst du auch bei Fritz!Box anstatt mit https:// mit http:// drauf gehen,also ohne dem s.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Fritzbox 7390
    Ich verbinde mich per Standard-HTTPS-Port, also 443.
    Eine Fernwartungs-Verbindung zur Fritzbox ohne TLS (also nur per http) halte ich natürlich für absolut nicht empfehlenswert. Weiß jetzt gar nicht, ob das überhaupt möglich ist.

    Das oben beschriebene Thema ist ja auch kein Problem, es ist eben nur etwas lästig und auch aus technischer Neugier interessiert es mich.

    Zitat von Aluhütte

    Eine Fernwartungs-Verbindung zur Fritzbox ohne TLS (also nur per http) halte ich natürlich für absolut nicht empfehlenswert.


    Da hast du Recht.

    Ich kenne leider niemanden, der einen Fernzugang über myfritz eingerichtet hat. Ich kann es deshalb nicht selbst ausprobieren. Ich kenne auch die Regeln nicht, nach denen Firefox verfährt.
    In diesem Fall meckert der Firefox darüber, dass das Zertifikat selbsigniert ist. Normalerweise benötigst du zu einem Zertifikat auch das Zertifikat des Ausstellers. Das heißt, du musst das entsprechend Zertifikat im Firefox auch unter den Zertifizierungsstellen importieren. Beiden musst du vertrauen. Ob der Firefox damit zufrieden ist oder weiter meckert, weil ja auch das Zertifikat der CA selbstsigniert ist, weiß ich nicht. Einfach ausprobieren.

    Für den lokalen Zugriff per https ist der Firefox übrigens schon zufrieden, wenn man eine Aussnahme hinzufügt.