Aktualisierung auf Version 54.0 ändert Fehlercodes

  • In die Zertifizierungsstellen von Firefox habe ich das Zertifikat meiner Fritzbox importiert und ihm dass volle Vertrauen gegeben.

    Nebenbei bemerkt. Daran, dass bei jedem Verbindungsversuch trotzdem ein Fehlercode kommt, habe ich mich gewöhnt. Das hatte ich bereits erfolglos angefragt in [1].

    Der Fehlercode war aber bisher
    Fehlercode: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

    was doch recht sprechend und aussagekräftig war.

    Seit der Aktualisierung von Firefox auf Version 54.0 kommt jedoch stattdessen
    Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

    was nicht nur weniger sprechend und weniger aussagekräftig sondern m.E. auch nicht korrekt ist.

    Andere Fehlercodes werden jetzt auch durch Fehlercode: SEC_ERROR_UNKNOWN_ISSUER ersetzt.

    Wie kann man die vorherigen, m.E. korrekten Fehlercodes wieder sichtbar machen?

    Hier sollten die Firefox-Entwickler bitte auch nachbessern.

    [1]
    https://www.camp-firefox.de/forum/viewtopic.php?f=1&t=118470


  • Hier sollten die Firefox-Entwickler bitte auch nachbessern.

    Dieses Forum ist ein reines User-helfen-Usern-Forum. Entwickler lesen hier nicht mit.

    Wenn Du einen Bug melden willst, ist Bugzilla die richtige Adresse.

    Entwicklungsvorschläge und Kritik zu Firefox kannst Du hierhin schreiben und hier mitlesen.

    Alle Seiten sind in Englisch.

  • Zitat

    MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY
    A certificate with a basic constraints extension with cA:TRUE is being used as an end-entity certificate
    Re-generate the end-entity certificate without the basic constraints extension

    Das Rote mal durchführen...
    Quelle ... nach unten Scrollen...
    Gefunden durch Eingabe der Fehlermeldung in eine Suchmaschine... :)

  • Ich hatte das Problem in ähnlicher Form ebenfalls. Der Zugriff auf meine Fritzbox erlolgt ausschließlich lokal über LAN oder extern über VPN. Insofern ist eine https-Verbindung zu meiner Fritzbox in meinem Fall gar nicht nötig. Dennoch wollte ich das Problem für mich lösen.

    Ich bin kein Experte auf dem Gebiet der Zertifikate. Ich verfüge lediglich über etwas angelesenen Wissen dazu. Meiner Meinung nach ist das Problem darin begründet, dass das Zertifikat dynamisch erzeugt wird und unter anderem als Herausgeber die IP-Adresse anführt. Das lässt sich überprüfen, indem man sich das Zertifikat anzeigen lässt.
    Die IP-Adresse ändert sich bei einem Privatanwender meist täglich. Deshalb wird die Ausnahmeregel von heute schon morgen nicht mehr anerkannt, weil sich sowohl der Herausgeber als auch die CA geändert haben. Die Ursache des Problems liegt deshalb meiner Meinung nach nicht im Firefox sondern in der Methode, wie die Zertifikate in der Fritzbox erzeugt werden.

    Ich konnte die Aufgabenstellung letztendlich lösen, indem ich auf der Fritzbox ein eigenes Zertifikat installiert habe. Näheres dazu findet sich auf den recht guten Seiten von AVM.


    Das Rote mal durchführen...

    Das erscheint mir absolut deplatziert und erinnert mich an meine eigene Frage zum Thema CCK2. Hier scheint erneut ein Hinweis ohne Sachverstand erfolgt zu sein. Falls ich mich irre, bitte ich um Entschuldigung. Dann möge Boersenfeger jedoch bitte erklären, wie man das auf der Fritzbox umsetzen kann. Meiner Meinung nach ist das ohne die Installation eines eigenen Zertifikats nicht möglich.

    Der verlinkte Hinweis richtet sich an Admistratoren von Webseiten. Diese haben die Kontrolle über ihre Zertifikate. Das trifft hier nicht zu. Der Benutzer kann das Standardzertifikat der Fritzbox nicht regenerieren.
    Außerdem bezieht sich der Hinweis nicht einmal auf die richtige Fehlermeldung "SEC_ERROR_UNKNOWN_ISSUER".

    Sören Hentzschel hat mich neulich zurecht darauf hingewiesen, dass dies kein Forum für professionelle IT sondern eines für Privatanweder ist. Das hier geschilderte Problem ist eines für Privatanwender. Für umso schlimmer halte ich es, dass ein Teilnnehmer mit fast 50000 Beiträgen Hinweise zu einem Thema gibt, von dem er nicht einmal die Grundlagen beherrscht. Ich empfinde das als sehr ärgerlich, weil es andere verwirrt und auf eine falsche Fährte führen kann.

    Ich möchte deshalb andere Leser dazu ermuntern, solche Hinweise zu hinterfragen, egal wie viele Beiträge der jeweilige Autor hat. Verlasst euch nicht auf Links, die irgendjemand gegoogelt hat. Stellt Fragen und lasst es euch erklären. Wer es nicht in eigenen Worten erklären kann, hat es selbst nicht verstanden.

    Ich entschuldige mich für den mitschwingend Frust. Er ist darin begründet, dass ich selbst so naiv war und, auch aufgrund der Beitragszahl einiger Benutzer, einem Irrweg gefolgt bin, der mich viele Stunde unnötiger Arbeit gekostet hat.


  • Die Ursache des Problems liegt deshalb meiner Meinung nach nicht im Firefox sondern in der Methode, wie die Zertifikate in der Fritzbox erzeugt werden.

    Im Prinzip hast du recht... wenn man allerdings zwischen meinen knappen Zeilen liest, sollte die Lösung erkennbar sein.. nämlich, das man dieses Problem ggf. in einem Forum des Fritzbox-Herstellers AVM diskutieren sollte...
    Die Hilfe der von dir angesprochenen Fehlermeldung wurde bereits vom Kollegen 2002Andreas verlinkt... der Fragesteller sollte sich dazu ggf. zunächst äußern...

    BTW: Als Ahnungsloser vielleicht noch diese Nachfrage: Warum muss man ein Zertifikat einer Fritzbox in den Firefox importieren?

    Zitat

    In die Zertifizierungsstellen von Firefox habe ich das Zertifikat meiner Fritzbox importiert und ihm dass volle Vertrauen gegeben.


    BTW2: Deinen Frust kannst du tatsächlich behalten.. es wäre schön, wenn du diesen nun nicht in jeden Beitrag, den du hier noch hinterlassen möchtest, immer wieder breit schmierst.. :)


  • Warum muss man ein Zertifikat einer Fritzbox in den Firefox importieren?


    Ich will die Frage gern beantworten. Vorweg möchte ich versichern, dass es mir keineswegs darum geht, dich oder andere persönlich anzugreifen.
    Deine Frage betrifft das absolute Grundwissen zum Thema Zertifikate. Du hättest ebenso gut fragen können, weshalb ein handgeschriebener Zettel mit Name, Geburtsdatum und Anschrift nicht als Personalausweis anerkannt wird.

    Das Zertifikat dient neben der Verschlüsselung auch dazu, die Identität eines Servers, hier der Fritzbox, festzustellen. Das ist ein wesentlicher Zweck des Zertifkats. Es ist (auch) ein Ausweis.

    Ausweise sollen möglichst fälschungssicher sein und werden nur von den zuständigen Behörden nach Überprüfung ausgegeben. Ähnlich verhält es sich mit den Zertifikaten. Sie werden von sogenannten CAs, den Zertifizierungsstellen, herausgegeben.
    So, wie wir den Behörden vertrauen, dass die von ihnen ausgestellten Ausweise echt sind, muss der Browser wissen, welchen Herausgebern er vertrauen darf. Dazu werden wiederum Zertifikate verwendet.

    Der Firefox bringt bereits einige solcher Herausgeberzertifikate mit. Die stammen von CAs, denen Mozilla vertraut.
    Ruft man eine Webseite auf, deren Zertifikat korrekt ist und von einer dieser bekannten CAs herausgegeben wurde, stellt der Browser die Verbindung her. Andernfalls kommt es zu einer entsprechenden Warnmeldung.

    Möchte man ein eigenes Zertifikat benutzen oder eines von einer CA, die der Firefox nicht kennt, muss man zunächst das zugehörige Herausgeberzertifikat selbst nachinstallieren (oder eine Ausnahme erstellen) und dem Firefox damit mitteilen, dass man dieser CA, bildlich dieser Behörde, vertraut.

    Nicht jeder muss dieses Grundwissen über Zertifikate haben. Ich selbst würde mich auch nicht als Spezialisten auf diesem Gebiet bezeichnen. Wer jedoch anderen blind ergoogelte Ratschläge gibt, dabei selbst nicht einmal dieses Grundwissen hat, der ist unglaubwürdig. Er sollte sich besser nicht äußern. Quantität und Qualität sind verschiedene Kriterien.

    Ein abschließendes Wort meinerseits zum Thema Frustration. Wenn du so viele Stunden sinnlos mit dem Thema CCK2 verbracht hättest wie mein Kollege und ich, nur weil wir so naiv waren, unter anderem deinen Hinweisen zu folgen, du wärst bestimmt auch verärgert.

    Was mich fast ebenso ärgert, ist, dass dich das nicht zu stören scheint. Wie man an diesem Thema sieht, setzt du das gewohnte Verhalten einfach fort. Du gibst erneut einen Rat und weißt selbst nicht im Geringsten, um was es eigentlich geht. Ich halte das nicht für in Ordnung, weil es für andere kostspielige Konsequenzen haben kann.

    Damit sei meiner Frustration Genüge getan. Du hast Recht. Ich muss das nicht nochmals wiederholen. Ich möchte im Gegenzug Dich und andere bitten, auf Ratschläge zu verzichten, wenn euch das nötige Hintergrundwissen fehlt.

    Zurück zu der https-Verbindung zur Fritzbox. In meinem Fall konnte ich feststellen, dass das Zertifikat der Fritzbox sowohl für den Herausgeber als auch unter "ausgestellt für" die eigene öffentliche IP-Adresse anzeigt. Wie oben geschrieben, scheint mir hier der Grund zu liegen, weshalb eine Ausnahme scheinbar nicht dauerhaft gespeichert wird.
    Um das zu umgehen, habe ich auf der Fritzbox ein eigenes Zertifikat installiert. Damit tritt das Problem nicht mehr auf.


  • Du gibst erneut einen Rat und weißt selbst nicht im Geringsten, um was es eigentlich geht. Ich halte das nicht für in Ordnung, weil es für andere kostspielige Konsequenzen haben kann.

    Was ist an meinem Rat, das AVM-Forum zu nutzen a) kostspielig und b) falsch?
    Dein Vorgehen geht über die Verwendung der Fritzbox als normaler Nutzer hinaus, wenn es dann zu Problemen kommt sollte man im Fachforum Auskunft erbitten.. Weiteres erspare ich mir.. :)


  • Ich möchte im Gegenzug Dich und andere bitten, auf Ratschläge zu verzichten, wenn euch das nötige Hintergrundwissen fehlt.


    Deine Beurteilung dazu würde ja bedeuten, dass du wissender bist als derjenige, der nach bestem Wissen und Gewissen seine Hilfe darstellt. Aber ein passendes Beispiel hast du nicht geliefert und somit kann ich solche Sätze nicht ernst nehmen.

    Entweder weißt du etwas nachweislich besser oder du weißt es nicht besser und gibst hier deine Einschätzung zu einer gegebenen Hilfestellung ab. Mit Letzterem erhebst du dich über andere Mitglieder und schreibst ihnen vor, wie sie Hilfe zu geben haben. Mich beeinflusst dein - nennen wir es mal Wunsch - überhaupt nicht! Meine Hilfe gebe ich so wie ich es für richtig halte. Wenn diese Hilfe mal etwas falsch, unpassend oder sonst wie kommt, kann mich jemand darauf aufmerksam machen. Aber der Grad des Falschen muss hoch sein. Denn es gibt Vorgehensweisen, die einfach auch dem Geschmack des Helfers entspricht und es gibt aber auch Vorgehensweisen, die es nur einmal korrekt gibt. In dem Beispiel mit CCK2 finde ich es durchaus korrekt, dieses Tool weiterhin zu empfehlen. Denn nicht jeder kennt diese Möglichkeit, die CCK2 bietet und ist vielleicht froh, diesen Tipp zu bekommen. Wenns nicht passt, ist auch nicht schlimm.

    PS: Du redest nur von Dingen, die du in einem hohen Maße beherrschst? Und gibst nie Tipps, von denen du mal gehört hast und die passen können? Meine Fresse, wie schrecklich perfekt. Aber wahrscheinlich nicht wirklich, aber der Anspruch dazu musst ja irgendwo herkommen.


  • Was ist an meinem Rat, das AVM-Forum zu nutzen a) kostspielig und b) falsch?


    Ich glaube, du weißt ganz genau, dass es nicht um diesen Rat ging sondern um den hier absolut unsinnigen in Beitrag #4. Damit ist dem Fragesteller nicht geholfen.


    Und gibst nie Tipps, von denen du mal gehört hast und die passen können? Meine Fresse, wie schrecklich perfekt.


    Ich bin weit davon entfernt, perfekt zu sein. Ganz im Gegenteil. Wie bei jedem anderen Menschen auch gibt es Bereiche, in denen ich mich mal mehr, mal weniger auskenne. Zu vielen Themen weiß ich sogar gar nichts.
    Wenn ich von einem Sachverhalt absolut nichts verstehe, halte ich mich zurück. Das mag der Unterschied zwischen dir und mir sein. Wenn ich nicht weiß, wozu Zertifikate überhaupt benötigt werden, gebe ich anderen keine Ratschläge dazu. Wenn ich von einer Software nicht genau weiß, wozu sie dient, empfehle ich sie nicht. Das sollte meiner Meinung nach eine Selbstverständlichkeit sein.

    Im Übrigen gibt es nicht nur Schwarz und Weiß. So kann man auch einen gut gemeinten Hinweis geben und dabei erwähnen, dass man das Produkt selbst nicht kennt.

    Mein Eindruck ist, dass die Mehrzahl der Menschen so verfährt. Bei den anderen entsteht für mich der Verdacht, die wahren Motive könnten andere sein als die, Hilfe zu geben.

  • Moin,

    als völlig Unbeteiligte und Unwissende lese ich im Moment hier nur gegenseitige, ich nenne es mal salopp "Besserwisserei" heraus und bitte doch mal die Moderatoren, hier durch zu wischen, damit der Beitrag wieder für alle nachvollziehbar wird und wieder zur Sachlichkeit zurück gekehrt wird.

    Danke.
    Ende meines Beitrages.

    Freundliche Grüße
    Barbara

    ____________

  • Ich habe in der Sache lediglich zwei Vermutungen angestellt und diese auch als solche kenntlich gemacht. Für haltlos halte ich keine meiner Aussagen:


    Meiner Meinung nach ist das Problem darin begründet, dass das Zertifikat dynamisch erzeugt wird und unter anderem als Herausgeber die IP-Adresse anführt.


    Die Ursache dafür, dass die IP verwendet wird, kann eine andere sein. Spielt das zur Lösung des Problems deiner Meinung nach eine Rolle?


    Falls ich mich irre, bitte ich um Entschuldigung. Dann möge Boersenfeger jedoch bitte erklären, wie man das auf der Fritzbox umsetzen kann. Meiner Meinung nach ist das ohne die Installation eines eigenen Zertifikats nicht möglich.

    Sollte ich mich geirrt haben, so akzeptiere bitte meine Entschuldigung. Dann lass Aluhütte aber bitte nicht im Regen stehen und erkläre nachvollziehbar, wie dein Lösungsvorschlag "Re-generate the end-entity certificate without the basic constraints extension" das Problem lösen soll und vor allem wie er umzusetzen ist, ohne auf der Fritzbox ein eigenes Zertifikat zu installieren. Das wäre für Aluhütte eine wichtige Information und könnte auch für andere interessant sein.

    Sollte ich mich oben nicht geirrt haben, dann stammt der bisher einzige, nachweisbar funktionierende Lösungsvorschlag von mir. Er stammt nicht von dir, nicht von Fox2Fox und auch nicht von BarbaraZ. Das sei mir erlaubt, zu erwähnen.

    Sofern niemand eine bessere Idee hat, bliebe abzuwarten, ob mein Lösungsvorschlag für Aluhütte praktikabel ist und er den Aufwand erbringen möchte. Vielleicht ist es ihm ja lieber, die Meldung weiterhin wegzuklicken.

    In diesem Zusammenhang sollte noch der Aspekt besprochen werden, wie Aluhütte den Fernzugriff realisiert hat. Das ist ein sehr wichtger Gesichtspunkt, weil gerade hierbei die verschlüsselte Verbindung wichtig ist. Ich würde immer zu einer VPN-Verbindung raten. Für diese wären dann wiederum Zertifikate nötig.

    Vielleicht warten wir einfach, was Aluhütte dazu sagt.

    Einmal editiert, zuletzt von Anonymous (27. Juni 2017 um 10:49)

  • Zitat von Carnot

    ... Sollte ich mich oben nicht geirrt haben, dann stammt der bisher einzige, nachweisbar funktionierende Lösungsvorschlag von mir. Er stammt nicht von dir, nicht von Fox2Fox und auch nicht von BarbaraZ.... .

    Ich tendiere sogar dazu, dass der richtige Lösungsvorschlag von Andreas mit dem Beitrag#2 kommt.
    Denn die letzte Fehlermeldung die Aluhütte erwähnt hat, lässt dieses sehr stark vermuten. Selbst im Mozilla Support ist ja genau die Meldung erwähnt.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Das liegt in der Natur der Sache. Es verhält sich ähnlich wie mit der Antwort "42" oder "Google mal". Unter dem Link von Andreas findet sich eine Auflistung sämtlicher möglichen Ursachen für diese Fehlermeldung. Wenn man alle Ursachen nennt, ist selbstverständlich auch die richtige dabei.

    Das ist somit zwar alles richtig, aber ein wenig zu einfach, findest du nicht? Was soll denn Aluhütte damit anfangen? Zu den wichtigen Fragen, nämlich welche der verschiedenen Ursachen hier vorliegt und wie er diese beseitigen kann, ist das nicht sehr hilfreich.

    Ich konnte den von mir beschriebenen Fehler auf zwei verschiedenen, allerdings schon älteren, Fritzboxen sowohl unter Windows als auch unter macOS reproduzieren und beheben. Eine Sicherheistsoftware scheidet somit zumindest in meinem Fall aus. Das jeweilge Zertifikat verwies außerdem auch gar nicht auf das einer Schutzsoftware.
    Das muss nicht auf die Installation bei Aluhütte zutreffen. Insofern kann die Ursache bei ihm eine andere sein.

    Hast du eine Fritzbox? Falls ja, lass dir doch bitte einmal deren Zertifikat anzeigen. Wird bei dir auch die öffentliche IP-Adresse in den CN-Feldern angezeigt? Oder hat AVM hier inzwischen eine Änderung vorgenommen?

    Hast du eine andere Erklärung für die beiden Fehlermeldungen als die, dass es am Zertfikat selbst liegt? Kannst du damit erklären, weshab eine hinzugefügte Ausnahme nur für einen begrenzten Zeitraum funktioniert und weshalb es zu verschiedenen Fehlermeldungen kommt? Vor allem: Hast du einen konkreten Vorschlag, den Fehler zu beheben, ohne ein eigenes Zertifikat aufzuspielen?

  • Unter dem Link von Andreas findet sich eine Auflistung sämtlicher möglichen Ursachen für diese Fehlermeldung. Wenn man alle Ursachen nennt, ist selbstverständlich auch die richtige dabei.

    Das ist somit zwar alles richtig, aber ein wenig zu einfach, findest du nicht? Was soll denn Aluhütte damit anfangen?

    Meinst du das wirklich ernst? Der verlinkte Artikel ist sehr gut strukturiert und besitzt oben gut sichtbare Links zu allen relevanten Abschnitten. Der Themenersteller dürfte selbst sehr gut wissen, welche Sicherheits-Software er einsetzt, also muss er auch nicht alles durchlesen, was da steht, da sich einige Abschnitte damit automatisch ausschließen lassen.

    Der verlinkte Artikel ist ein Hilfe-Artikel, der speziell für diesen Fehlercode geschrieben worden ist. Damit steht es außer Frage, dass das Durcharbeiten der Hinweise in diesem Artikel sinnvoll ist. Schließlich basiert dieser Artikel auf realen Erfahrungen. Das ist vielleicht der entscheidende Punkt: Erfahrungen. Nutzer, welche in diesem Forum Hilfe geben, haben in Bezug auf Firefox-Probleme wahrscheinlich mehr Erfahrung als du, und damit ein Gespür dafür, ob es eine gute Idee ist, auf diesen Artikel zu verweisen oder nicht.

    Vielleicht löst der Artikel das Problem nicht, das kann ja alles sein. Aber du musst jetzt wirklich nicht damit anfangen, jede in diesem Forum gegebene Hilfe zu kritisieren.


  • Meinst du das wirklich ernst?


    Selbstverständlich.

    Hast du eine Fritzbox? Kannst du bestätigen, dass das Zertifikat unter CN die öffentliche IP-Adresse enthält und sich somit nach jeder Trennung ändert? Oder verhält sich deine anders?

  • Ich habe nun einen Bekannten gebeten, den Test unter Ubuntu auszuführen:

    - per https lokal über auf die Fritzbox 3320 verbunden. Warmeldung. Das Zertifiakt zeigt die IP-Adresse.
    - Ausnahme hinzugefügt. Alles ok.
    - Fritzbox neu verbinden lassen. Neue IP. Neues Zertifikat. Erneut Warnmeldung.
    - Eigenes Zertifikat installiert.
    - Test wiederholt. Keine Warnmeldungen mehr.

    Alles wie erwartet. Es kann sein, dass das Problem bei Aluhütte ein anderes ist. Das von mir geschilderte existiert jedoch, wie die Tests zeigen. Wie man es lösen kann, habe ich mehrfach geschrieben. Mehr habe ich derzeit nicht hinzuzufügen.