Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

StartSSL und Firefox

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

30.09.2014 um 14:37 Uhr, 6100 Aufrufe, 17 Kommentare

Moin,

ich habe für einen unserer Linux-Server ein StartSSL-Zertifikat erstellt. Seit einiger Zeit meckert Firefox jetzt (32.0.3), dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server verbunden waren. Internet Explorer und Chrome schlucken das Zertifikat ohne Probleme.
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033

Gruß
Mitglied: colinardo
30.09.2014, aktualisiert um 14:50 Uhr
Moin,
Zitat von Coreknabe:
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Was steht in der Fehlermeldung woran sich Firefox an dem Zertifikat stört ?

Grüße Uwe
Bitte warten ..
Mitglied: Coreknabe
30.09.2014 um 14:56 Uhr
Hi Uwe,

danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten Zertifikat.

Gruß
Bitte warten ..
Mitglied: colinardo
30.09.2014, aktualisiert um 14:59 Uhr
Zitat von Coreknabe:
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten
Zertifikat.

Wird denn der CA im Zertifikat vertraut?
Kann man das Zertifikat irgendwo abrufen das ich das hier mal testen kann ?
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2014 um 16:41 Uhr
Zitat von Coreknabe:

Seit einiger Zeit meckert Firefox jetzt (32.0.3),
dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server
verbunden waren.

Wenn ich raten müßte, würde ich mal drauf tippen, daß die passende CA bei den "neuen rechnern" aus Firefox rausgeflogen ist.

Schonmal geschaut, ob die CA in der Liste von Firefox noch drin ist?

lks
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 09:51 Uhr
Hallo,

vor einiger Zeit ist das Zwischen-Zertifikat ausgelaufen bzw. wurde durch ein SHA256 signiertes ersetzt. Hast du das aktuelle/passende "intermediate" CA Zertifikat auf dem Linux Server (Apache?) hinterlegt?

Gruß

Andi
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 09:57 Uhr
Moin Ihr zwei,

habe jetzt noch mal mit einem Rechner zuhause getestet, dieser war vorher noch nie mit einer der beiden Seiten verbunden (Firefox "neu"). Firefox "alt" ist mein Arbeitsplatzrechner, der kein Problem mit den Zertifikaten hat.

Linuxserver 1, Aufruf mit Firefox "neu"
6327613009cb066b67543f40bdd18f04 - Klicke auf das Bild, um es zu vergrößern

Linuxserver 2, Aufruf mit Firefox "neu"
d55915e6d102961aad67aee4cfe45a4c - Klicke auf das Bild, um es zu vergrößern

Linuxserver 1, Aufruf mit Firefox "alt"
18d63ea706ddd2f167e49233e45e8b57 - Klicke auf das Bild, um es zu vergrößern

Linuxserver 2, Aufruf mit Firefox "alt"
50ec37c192a3f33ef1df6c6cb5de38d3 - Klicke auf das Bild, um es zu vergrößern

Ich habe leider nichts gefunden, wo auf meinem Arbeitsplatzrechner die Zertifikate hinterlegt wurden, StartSSL ist in beiden Systemen nach wie vor als CA hinterlegt. Teste ich auf dem Rechner zuhause mit Chrome oder Internet Explorer, werden die Zertifikate sofort als gültig und vertrauenswürdig eingestuft.

Gruß
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 10:04 Uhr
Hi Andi,

danke auch Dir. Ne, äh, was muss ich da tun?

Ich komme auch putzigerweise von meinem Arbeitsplatzrechner (zuhause geht's) nicht mehr mit dem Firefox in das StartSSL Controlpanel. www.startssl.com kann ich noch aufrufen, will ich zum Controlpanel wechseln, bekomme ich eine Meldung, dass der Verbindung nicht vertraut wird und ich kann auch keine Ausnahme hinzufügen:

1e9ccc30a5c4fa2e7e2f360c403e73ac - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 10:47 Uhr
Lade dir das Zertifikat herunter, speichere es. Dann doppelklick auf das Zertifikat und speichere im Zertifikatsbaum auf dem letzten TAB wiederum alle CA-Zertifikate einzeln ab und importiere sie in den Zertifikatsstore von Firefox.

Wenn das nicht hilft, könnte es an der SSL-Renegotiation liegen damit hatte ich im Firefox schon mal Probleme. Dazu öffnest du die Seite about:config und setzt die Einstellung security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True. Alternativ lässt sich die SSL-Renegotiation auch nur für bestimmte Hosts aktivieren, diese lassen sich in der Eigenschaft security.ssl.renego_unrestricted_hosts eintragen.

Grüße Uwe
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 12:11 Uhr
Also das riecht ein wenig streng...
Kannst du mal das www.startssl.com Zertifikat zeigen welches bei dir am Arbeitsplatz erscheint?

Gruß

Andi
Bitte warten ..
Mitglied: Coreknabe
01.10.2014, aktualisiert um 12:53 Uhr
@colinardo: Das ist ein öffentlich zugänglicher Server für unsere Studenten. Wenn ich denen (in 90% der Fälle wenig technik-affin) diesen Lösungsweg vorschlage (habe nicht probiert, ob es hilft), haben wir hier einen enormen Supportaufwand. Ich hätte gehofft, dass es eine einfachere Lösung gibt, so würde ich eher Chrome oder notfalls auch den Internet Explorer vorschlagen, der Firefox soll dann gar nicht genutzt werden.

@andi: Wenn Du das Zertifikat meinst, dass bei Aufruf des Controlpanels erscheint: Nö, leider nicht. Wie Du auf dem Screenshot siehst, ist das Feld "Ansehen..." ausgegraut, herunterladen kann ich das Zertifikat auch nicht, dann erscheint der Text "Der Identifikations-Status der angegebenen Website konnte nicht bezogen werden."

Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 13:01 Uhr
Zitat von Coreknabe:
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Kann ich bestätigen, hatte mich seit längerem dort nicht mehr eingeloggt, und gerade versucht mich einzuloggen. Ich bekam jedoch nicht die Meldung das das Zertifikat ungültig ist, sondern die Verbindung wurde einfach zurückgesetzt und abgebrochen. Hier half der obige Fix. Ich denke es liegt daran das Mozilla gerade die Struktur für die Überprüfung von Zertifikaten ändert. Aber die Probleme haben seit Version 32.x.x zugenommen, wird langsam nervig

Hier kommt gerade der nächste der die gleichen Probleme hat:
https://www.administrator.de/forum/firefox-neuste-version-problem-der-id ...
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 13:18 Uhr
OK, habe mir jetzt rein interessehalber mal einen Testrechner geschnappert und security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True gesetzt. Ändert bei uns nix am Problem, auch der Eintrag von Hosts nicht.

Schade, werden wir wohl dazu übergehen, den Firefox aus den Lehrsälen zu verbannen und künftig Chrome als "Alternativbrowser" empfehlen. Wobei Alternativbrowser ja stark untertrieben ist, ich habe schon seit Ewigkeiten keinen Internet Explorer mehr benutzt und kenne auch nur wenige Leute, die darauf Wert legen. War schön, mit dir, Firefox... Muss man leider zugeben, dass die Anlehnung von Chrome an den Internet Explorer (Zertifikatsspeicher und Co.) schlauer war...

Vielen herzlichen Dank für Eure Hilfe!
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 13:33 Uhr
Firefox 32.0.3 funktioniert hier ohen Work-Around einwandfrei mit StartSSL...

Gruß

Andi
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 14:49 Uhr
Eventuell liegt es auch an den persönlichen Zertifikaten die vor dem Heartbleed-Fix mit einer verwundbaren OpenSSL-Version erstellt wurden, so dass Firefox nur die Verwendung dieser blockt. Werde das mal austesten...

-edit- das Löschen des Identitätszertifikates und erneute Importieren in die Zertifikate hat den Fehler bei mir im Firefox behoben.
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 16:57 Uhr
Hm... vielleicht und wahrscheinlich liegt mein Problem, dass ich mit dem "Arbeitsplatz-Firefox" StartSSL nicht aufrufen kann, in der lokalen Konfig. Ist mir jetzt zu dumm, habe das Authentifizierungszertifikat für Chrome installiert, damit geht es.

@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 17:06 Uhr
Zitat von Coreknabe:
@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Das Zertifikat das man zum Anmelden im StartSSL Controlcenter verwendet (Authentifizierungszertifikat)
Bitte warten ..
Mitglied: Coreknabe
02.10.2014 um 09:48 Uhr
OK, Verbindung mit StartSSL Controlpanel funktioniert jetzt auch wieder. Danke, Uwe!
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
StartCom StartSSL Zertifikat - Fragen
gelöst Frage von pelzfruchtVerschlüsselung & Zertifikate7 Kommentare

Hallo, ich habe einige Fragen zu dem StartSSL Angebot von StartCom. 1) Lassen sich Netzwerk Domains a la "Home-Server.beispiel.lan" ...

E-Mail

Fehlermeldung bei Fetchmail: SMTP server requires STARTSSL

Frage von trallerE-Mail4 Kommentare

Hallo, ich habe einen kleinen Pi als Mail Server konfiguriert und Fetchmail spinnt die ganze Zeit rum. Es soll ...

Webbrowser

Was ist mit Firefox los?

gelöst Frage von honeybeeWebbrowser2 Kommentare

Hallo, jedes Mal, wenn ich Firefox starte, meckert der Kaspersky ständig mit dieser u. g. Meldung Ich hatte keine ...

Webbrowser

Firefox Fehlermeldung

Frage von pencilWebbrowser1 Kommentar

Hallo zusammen In unserer Citrixfarm betreiben wir seit neuestem den ESR-Firefox auf der Version 31.01. Wenn man den Firefox ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 7 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 10 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...