firefox kann keine Schlüssel mehr erkennen, kein Zugriff

[ottosykora]

Kann nach dem Update des Firefox auf 31 nicht mehr auf DS zugreifen.

Ich habe zwar die Cert der DS im Firefox importiert, jedoch werden die nicht mehr akzeptiert und Firefox meldet auch er kann nicht den Status des Servers lesen.
Damit gibt es keinen ZUgrif mehr, lokal oder extern, weil ich die http Anfragen auf https umgebeogen habe.

Was nun?

Mit IE geht alles normal.

 

[ottosykora]

Gibt es da niemand mit gleichem Problem oder ev einer Lösung?

Ich habe auf der DS einen Selfsigned.

Diesen habe ich auch in meine Browser und Computer importiert.
In Firefox auch die Fragen nach Ausnahmen beantwortet und die Ausnahmen waren gestezt. Die Zerts sind in dem Browser gespeichert.


Seit dem letzten Update von Firefox bekomme ich damit keine Verbindung mehr zu https.
Ich werde wieder nach Ausnahme zulassen gefragt, allerdings funktioniert es dann nicht mehr.

Kennt jemand warum dies nun so ist?

Mit IE kann ich weiter arbeiten, aber das nervt.

 

[ottosykora]

Das ist irgend ein Bug in der Suppersicherheit oder so was.

Habe heute mit so was wie
about:config
browser.xul.error_pages.enabled
browser.xul.expert.bad.cert gespielt

Viel hat es nicht geholfen, war nur sehr verwirrt dann

Habe nun alle Schlüssel die ich zu den Synos je installiert habe und alle Ausnahmen gelöscht und von vorne angefangen.
Es scheint wenn mal ein Ausnahme drin war dann ist die nicht mit der neuen Version von FF irgendwie kompatibel und dann motzt FF.
Wenn nicht zu finden ist, dann gibt er sich damit zufrieden was vorliegt.

 

[Adama]

Ich hab' das gestern auch bei einer Installation von Firefox gehabt. Ich hab' einfach die Zertifikate wieder importiert, danach ging es wieder problemlos...

 

[ottosykora]

habe ich natürlich zuerst probiert, hat nicht geholfen.

Ich habe erst Verbindung bekommen nachdem ich alle Schlüssel und Ausnahmen die je was mit einer DS zu tun hatten gelöscht habe und die Schlüssel neu importiert habe.

Import einfach über die vorhandenen hat nicht geholfen.

 

[Peter_Lehmann]

Hallo Freunde,

dieses Problem ist nicht unbekannt und im Fx-Forum auch bereits "lang und breit" diskutiert worden. => Ausnahmeregel dauerhaft speichern funktioniert nicht
Nach dem Update auf die Version 31 passierte das so manchem User ... . Ein Löschen der "cert8.db", also der Datei welche die (öffentlichen) Zertifikate speichert, kann dieses Problem zumeist lösen. Diese Datei wird beim nächsten Start des Fx wieder neu und sauber und mit den vorinstallierten Zertifikaten befüllt, angelegt.

Dieses Anlegen von Ausnahmegenehmigungen ist eine üble Krückenlösung, da dieses, wenn ohne gründliches Nachdenken immer wieder erfolgt, ein wichtiges Sicherheitsfeature von TLS außer Kraft setzt => klick. Ich empfehle, für eigene Serverchen entweder gleich eine eigene "Mini-CA" aufzusetzen und deren root-Zertifikat zu importieren, oder das selbstsignierte Zertifikat der DS (was ja sowohl ein root-Z. als auch ein Serverzertifikat ist!) zu exportieren und wieder als Herausgeberzertifikat zu importieren. Das ist zwar im Endeffekt das gleiche wie eine Ausnahmeregel, aber ich habe jetzt ein Herausgeberzertifikat, dem ich bewusst das Vertrauen ausgesprochen habe und ein Serverzertifikat. Technisch das gleiche, "verfahrenstechnisch" aber sauberer. Wer das vor dem Update auf Fx v.31 gemacht hat, hatte das o.g. Problem nicht.

MfG Peter

 

[ottosykora]

Ja klar, nur es scheint folgendes: wenn eine Ausnahme einmal installiert wurde, dann wird auch eine nachfolgende Installation des CA Schlüssels nicht mehr beachtet, die vorher installierte Ausnahmen funktionieren alle auch nicht mehr und lassen sich zwar erneuern, aber müssen vorher gelöscht werden. Manuelles nochmaliges installieren des Schlüssels und auch des CA Schlüssels bleibt ohne Wirkung.


Klar für die eigene DS kann man es dann mit dem Import des Schlüssels auch erledigen, muss jedoch den bereits installierten auch wenn er gleich ist löschen.

Es gibt jedoch auch viele Server die halt nun mal nur über die Ausnahme ihren Schlüssel deponieren können. Nicht zu allen Servern habe ich den Schlüssel im voraus auch wenn ich weiss um welche es sich handelt.

 

[Peter_Lehmann]

Ich schrieb ja, dass die "Ausnahmeregel" eine Krückenlösung ist. Eine Krücke, aber trotzdem eine Lösung. Wenn auch eine schlechte.
Leider wurde im Fx diese Lösung implementiert. Sicherlich, um ungewünschten Useranfragen von vorn herein aus dem Weg zu gehen. Ausnahemregel rein - und fertig ist die Laube.
Wenn man sich ein klein wenig Mühe gibt, dann braucht man diese Ausnahmeregeln nicht.
Ich habe ganze zwei "Server" in meinen Browsern eingetragen, von denen ich keine Herausgeberzertifikate erhalten konnte: die Konfigurationsoberflächen meiner beiden Drucker! Beides "vom Drucker" selbstsignierte Zertifikate, die zugleich Serverzertifikate als auch Herausgeber sind. => eben als solche importiert und fertig.
Bei allen anderen Geräten (meine Fritz!Boxen, meine DS, meine beiden RasPis, mein VPN-Gateway usw.) habe ich Zertifikate meiner eigenen Privat-CA installiert, und da ich dort selbstverständlich meine Herausgeberzertifikate in allen Browsern und TB-Installationen drin habe, sind auch hier saubere Zustände zu verzeichnen.

Nicht zu allen Servern habe ich den Schlüssel im voraus ...

Es spricht absolut nichts dagegen, wenn eine Firma einen (wenig frequentierten oder "halboffiziellen") Web- oder FTP-Server mit einem von der Firmen-CA herausgegebenen Zertifikat betreibt. Aber es ist unseriös, wenn diese Firma dann ihr Herausgeberzertifikat und dessen Fingerprint nicht gleich auf ihrer (unverschlüsselt betriebenen) Startseite deutlich sichtbar zum Herunterladen anbietet.

OK, ich gebe zu, dass X.509-Zertifikate nicht nur eines meiner Hobbys sind. Ich verdiene damit auch seit vielen Jahren meine Brötchen ... .

MfG Peter

 

[Frogman]

Wenn man aber auch den SSL-Zugriff von Besuchern auf seiner DS anbieten will, ist das auch keine Lösung. Für mich ist das einfach ein ganz schwaches Bild, was der Firefox hier abliefert - gerade in heutigen Zeiten!

 

[ottosykora]

Ja Peter, ich weiss, du bist gut in 509.

Aber das Problem mit den Synos ist nicht so geradlinig. Bei der Org wo ich auch tätig bin, haben wir denke ich so an die 15-20 Stk irgednwo in der Welt laufen.
Wenn ich da nur kurz eine Verbindung zu irgendeinem Ordner brauche, dann kann ich nicht zuerst den lokalen Admin bitten mir den Selfsig zu exportieren und zu schicken.
Der Kollege hat vielleicht gerade Mitternacht und meistens wird auch kaum wissen was ich von ihm will.
So einfach ist es im täglichen Leben nicht.

Bei einem richtig öffentlichem Webserver mit Infrastruktur und was auch immer dazu gehört ist es klar, auch ein richtiger Firmenserver wird sich da korrekt verhalten, aber unsere NAS sind eben ein andere Klasse auch wenn man auch hier durchaus Möglichkeiten hat 'erwachsen' zu werden.