17
StartSSL und Firefox
Moin,
ich habe für einen unserer Linux-Server ein StartSSL-Zertifikat erstellt. Seit einiger Zeit meckert Firefox jetzt (32.0.3), dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server verbunden waren. Internet Explorer und Chrome schlucken das Zertifikat ohne Probleme.
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Gruß
ich habe für einen unserer Linux-Server ein StartSSL-Zertifikat erstellt. Seit einiger Zeit meckert Firefox jetzt (32.0.3), dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server verbunden waren. Internet Explorer und Chrome schlucken das Zertifikat ohne Probleme.
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 250572
Url: https://administrator.de/contentid/250572
Printed on: April 24, 2024 at 09:04 o'clock
17 Comments
Latest comment
Moin,
Grüße Uwe
Zitat von @Coreknabe:
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Was steht in der Fehlermeldung woran sich Firefox an dem Zertifikat stört ?Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Grüße Uwe
Hi Uwe,
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten Zertifikat.
Gruß
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten Zertifikat.
Gruß
Zitat von @Coreknabe:
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten
Zertifikat.
Wird denn der CA im Zertifikat vertraut?danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten
Zertifikat.
Kann man das Zertifikat irgendwo abrufen das ich das hier mal testen kann ?
Zitat von @Coreknabe:
Seit einiger Zeit meckert Firefox jetzt (32.0.3),
dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server
verbunden waren.
Seit einiger Zeit meckert Firefox jetzt (32.0.3),
dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server
verbunden waren.
Wenn ich raten müßte, würde ich mal drauf tippen, daß die passende CA bei den "neuen rechnern" aus Firefox rausgeflogen ist.
Schonmal geschaut, ob die CA in der Liste von Firefox noch drin ist?
lks
Hallo,
vor einiger Zeit ist das Zwischen-Zertifikat ausgelaufen bzw. wurde durch ein SHA256 signiertes ersetzt. Hast du das aktuelle/passende "intermediate" CA Zertifikat auf dem Linux Server (Apache?) hinterlegt?
Gruß
Andi
vor einiger Zeit ist das Zwischen-Zertifikat ausgelaufen bzw. wurde durch ein SHA256 signiertes ersetzt. Hast du das aktuelle/passende "intermediate" CA Zertifikat auf dem Linux Server (Apache?) hinterlegt?
Gruß
Andi
Moin Ihr zwei,
habe jetzt noch mal mit einem Rechner zuhause getestet, dieser war vorher noch nie mit einer der beiden Seiten verbunden (Firefox "neu"). Firefox "alt" ist mein Arbeitsplatzrechner, der kein Problem mit den Zertifikaten hat.
Linuxserver 1, Aufruf mit Firefox "neu"
Linuxserver 2, Aufruf mit Firefox "neu"
Linuxserver 1, Aufruf mit Firefox "alt"
Linuxserver 2, Aufruf mit Firefox "alt"
Ich habe leider nichts gefunden, wo auf meinem Arbeitsplatzrechner die Zertifikate hinterlegt wurden, StartSSL ist in beiden Systemen nach wie vor als CA hinterlegt. Teste ich auf dem Rechner zuhause mit Chrome oder Internet Explorer, werden die Zertifikate sofort als gültig und vertrauenswürdig eingestuft.
Gruß
habe jetzt noch mal mit einem Rechner zuhause getestet, dieser war vorher noch nie mit einer der beiden Seiten verbunden (Firefox "neu"). Firefox "alt" ist mein Arbeitsplatzrechner, der kein Problem mit den Zertifikaten hat.
Linuxserver 1, Aufruf mit Firefox "neu"
Linuxserver 2, Aufruf mit Firefox "neu"
Linuxserver 1, Aufruf mit Firefox "alt"
Linuxserver 2, Aufruf mit Firefox "alt"
Ich habe leider nichts gefunden, wo auf meinem Arbeitsplatzrechner die Zertifikate hinterlegt wurden, StartSSL ist in beiden Systemen nach wie vor als CA hinterlegt. Teste ich auf dem Rechner zuhause mit Chrome oder Internet Explorer, werden die Zertifikate sofort als gültig und vertrauenswürdig eingestuft.
Gruß
Hi Andi,
danke auch Dir. Ne, äh, was muss ich da tun?
Ich komme auch putzigerweise von meinem Arbeitsplatzrechner (zuhause geht's) nicht mehr mit dem Firefox in das StartSSL Controlpanel. www.startssl.com kann ich noch aufrufen, will ich zum Controlpanel wechseln, bekomme ich eine Meldung, dass der Verbindung nicht vertraut wird und ich kann auch keine Ausnahme hinzufügen:
danke auch Dir. Ne, äh, was muss ich da tun?
Ich komme auch putzigerweise von meinem Arbeitsplatzrechner (zuhause geht's) nicht mehr mit dem Firefox in das StartSSL Controlpanel. www.startssl.com kann ich noch aufrufen, will ich zum Controlpanel wechseln, bekomme ich eine Meldung, dass der Verbindung nicht vertraut wird und ich kann auch keine Ausnahme hinzufügen:
Lade dir das Zertifikat herunter, speichere es. Dann doppelklick auf das Zertifikat und speichere im Zertifikatsbaum auf dem letzten TAB wiederum alle CA-Zertifikate einzeln ab und importiere sie in den Zertifikatsstore von Firefox.
Wenn das nicht hilft, könnte es an der SSL-Renegotiation liegen damit hatte ich im Firefox schon mal Probleme. Dazu öffnest du die Seite about:config und setzt die Einstellung security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True. Alternativ lässt sich die SSL-Renegotiation auch nur für bestimmte Hosts aktivieren, diese lassen sich in der Eigenschaft security.ssl.renego_unrestricted_hosts eintragen.
Grüße Uwe
Wenn das nicht hilft, könnte es an der SSL-Renegotiation liegen damit hatte ich im Firefox schon mal Probleme. Dazu öffnest du die Seite about:config und setzt die Einstellung security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True. Alternativ lässt sich die SSL-Renegotiation auch nur für bestimmte Hosts aktivieren, diese lassen sich in der Eigenschaft security.ssl.renego_unrestricted_hosts eintragen.
Grüße Uwe
Also das riecht ein wenig streng...
Kannst du mal das www.startssl.com Zertifikat zeigen welches bei dir am Arbeitsplatz erscheint?
Gruß
Andi
Kannst du mal das www.startssl.com Zertifikat zeigen welches bei dir am Arbeitsplatz erscheint?
Gruß
Andi
@colinardo: Das ist ein öffentlich zugänglicher Server für unsere Studenten. Wenn ich denen (in 90% der Fälle wenig technik-affin) diesen Lösungsweg vorschlage (habe nicht probiert, ob es hilft), haben wir hier einen enormen Supportaufwand. Ich hätte gehofft, dass es eine einfachere Lösung gibt, so würde ich eher Chrome oder notfalls auch den Internet Explorer vorschlagen, der Firefox soll dann gar nicht genutzt werden.
@andi: Wenn Du das Zertifikat meinst, dass bei Aufruf des Controlpanels erscheint: Nö, leider nicht. Wie Du auf dem Screenshot siehst, ist das Feld "Ansehen..." ausgegraut, herunterladen kann ich das Zertifikat auch nicht, dann erscheint der Text "Der Identifikations-Status der angegebenen Website konnte nicht bezogen werden."
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
@andi: Wenn Du das Zertifikat meinst, dass bei Aufruf des Controlpanels erscheint: Nö, leider nicht. Wie Du auf dem Screenshot siehst, ist das Feld "Ansehen..." ausgegraut, herunterladen kann ich das Zertifikat auch nicht, dann erscheint der Text "Der Identifikations-Status der angegebenen Website konnte nicht bezogen werden."
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Zitat von @Coreknabe:
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Kann ich bestätigen, hatte mich seit längerem dort nicht mehr eingeloggt, und gerade versucht mich einzuloggen. Ich bekam jedoch nicht die Meldung das das Zertifikat ungültig ist, sondern die Verbindung wurde einfach zurückgesetzt und abgebrochen. Hier half der obige Fix. Ich denke es liegt daran das Mozilla gerade die Struktur für die Überprüfung von Zertifikaten ändert. Aber die Probleme haben seit Version 32.x.x zugenommen, wird langsam nervig Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Hier kommt gerade der nächste der die gleichen Probleme hat:
Firefox (neuste Version) Problem? Der identifikations status der angegebenen website konnte nicht bezogen werden
OK, habe mir jetzt rein interessehalber mal einen Testrechner geschnappert und security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True gesetzt. Ändert bei uns nix am Problem, auch der Eintrag von Hosts nicht.
Schade, werden wir wohl dazu übergehen, den Firefox aus den Lehrsälen zu verbannen und künftig Chrome als "Alternativbrowser" empfehlen. Wobei Alternativbrowser ja stark untertrieben ist, ich habe schon seit Ewigkeiten keinen Internet Explorer mehr benutzt und kenne auch nur wenige Leute, die darauf Wert legen. War schön, mit dir, Firefox... Muss man leider zugeben, dass die Anlehnung von Chrome an den Internet Explorer (Zertifikatsspeicher und Co.) schlauer war...
Vielen herzlichen Dank für Eure Hilfe!
Schade, werden wir wohl dazu übergehen, den Firefox aus den Lehrsälen zu verbannen und künftig Chrome als "Alternativbrowser" empfehlen. Wobei Alternativbrowser ja stark untertrieben ist, ich habe schon seit Ewigkeiten keinen Internet Explorer mehr benutzt und kenne auch nur wenige Leute, die darauf Wert legen. War schön, mit dir, Firefox... Muss man leider zugeben, dass die Anlehnung von Chrome an den Internet Explorer (Zertifikatsspeicher und Co.) schlauer war...
Vielen herzlichen Dank für Eure Hilfe!
Firefox 32.0.3 funktioniert hier ohen Work-Around einwandfrei mit StartSSL...
Gruß
Andi
Gruß
Andi
Eventuell liegt es auch an den persönlichen Zertifikaten die vor dem Heartbleed-Fix mit einer verwundbaren OpenSSL-Version erstellt wurden, so dass Firefox nur die Verwendung dieser blockt. Werde das mal austesten...
-edit- das Löschen des Identitätszertifikates und erneute Importieren in die Zertifikate hat den Fehler bei mir im Firefox behoben.
-edit- das Löschen des Identitätszertifikates und erneute Importieren in die Zertifikate hat den Fehler bei mir im Firefox behoben.
Hm... vielleicht und wahrscheinlich liegt mein Problem, dass ich mit dem "Arbeitsplatz-Firefox" StartSSL nicht aufrufen kann, in der lokalen Konfig. Ist mir jetzt zu dumm, habe das Authentifizierungszertifikat für Chrome installiert, damit geht es.
@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Das Zertifikat das man zum Anmelden im StartSSL Controlcenter verwendet (Authentifizierungszertifikat)
OK, Verbindung mit StartSSL Controlpanel funktioniert jetzt auch wieder. Danke, Uwe!
