Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

StartSSL und Firefox

Frage Internet

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

30.09.2014 um 14:37 Uhr, 5267 Aufrufe, 17 Kommentare

Moin,

ich habe für einen unserer Linux-Server ein StartSSL-Zertifikat erstellt. Seit einiger Zeit meckert Firefox jetzt (32.0.3), dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server verbunden waren. Internet Explorer und Chrome schlucken das Zertifikat ohne Probleme.
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033

Gruß
Mitglied: colinardo
30.09.2014, aktualisiert um 14:50 Uhr
Moin,
Zitat von Coreknabe:
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Was steht in der Fehlermeldung woran sich Firefox an dem Zertifikat stört ?

Grüße Uwe
Bitte warten ..
Mitglied: Coreknabe
30.09.2014 um 14:56 Uhr
Hi Uwe,

danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten Zertifikat.

Gruß
Bitte warten ..
Mitglied: colinardo
30.09.2014, aktualisiert um 14:59 Uhr
Zitat von Coreknabe:
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten
Zertifikat.

Wird denn der CA im Zertifikat vertraut?
Kann man das Zertifikat irgendwo abrufen das ich das hier mal testen kann ?
Bitte warten ..
Mitglied: Lochkartenstanzer
30.09.2014 um 16:41 Uhr
Zitat von Coreknabe:

Seit einiger Zeit meckert Firefox jetzt (32.0.3),
dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server
verbunden waren.

Wenn ich raten müßte, würde ich mal drauf tippen, daß die passende CA bei den "neuen rechnern" aus Firefox rausgeflogen ist.

Schonmal geschaut, ob die CA in der Liste von Firefox noch drin ist?

lks
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 09:51 Uhr
Hallo,

vor einiger Zeit ist das Zwischen-Zertifikat ausgelaufen bzw. wurde durch ein SHA256 signiertes ersetzt. Hast du das aktuelle/passende "intermediate" CA Zertifikat auf dem Linux Server (Apache?) hinterlegt?

Gruß

Andi
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 09:57 Uhr
Moin Ihr zwei,

habe jetzt noch mal mit einem Rechner zuhause getestet, dieser war vorher noch nie mit einer der beiden Seiten verbunden (Firefox "neu"). Firefox "alt" ist mein Arbeitsplatzrechner, der kein Problem mit den Zertifikaten hat.

Linuxserver 1, Aufruf mit Firefox "neu"
6327613009cb066b67543f40bdd18f04 - Klicke auf das Bild, um es zu vergrößern

Linuxserver 2, Aufruf mit Firefox "neu"
d55915e6d102961aad67aee4cfe45a4c - Klicke auf das Bild, um es zu vergrößern

Linuxserver 1, Aufruf mit Firefox "alt"
18d63ea706ddd2f167e49233e45e8b57 - Klicke auf das Bild, um es zu vergrößern

Linuxserver 2, Aufruf mit Firefox "alt"
50ec37c192a3f33ef1df6c6cb5de38d3 - Klicke auf das Bild, um es zu vergrößern

Ich habe leider nichts gefunden, wo auf meinem Arbeitsplatzrechner die Zertifikate hinterlegt wurden, StartSSL ist in beiden Systemen nach wie vor als CA hinterlegt. Teste ich auf dem Rechner zuhause mit Chrome oder Internet Explorer, werden die Zertifikate sofort als gültig und vertrauenswürdig eingestuft.

Gruß
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 10:04 Uhr
Hi Andi,

danke auch Dir. Ne, äh, was muss ich da tun?

Ich komme auch putzigerweise von meinem Arbeitsplatzrechner (zuhause geht's) nicht mehr mit dem Firefox in das StartSSL Controlpanel. www.startssl.com kann ich noch aufrufen, will ich zum Controlpanel wechseln, bekomme ich eine Meldung, dass der Verbindung nicht vertraut wird und ich kann auch keine Ausnahme hinzufügen:

1e9ccc30a5c4fa2e7e2f360c403e73ac - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 10:47 Uhr
Lade dir das Zertifikat herunter, speichere es. Dann doppelklick auf das Zertifikat und speichere im Zertifikatsbaum auf dem letzten TAB wiederum alle CA-Zertifikate einzeln ab und importiere sie in den Zertifikatsstore von Firefox.

Wenn das nicht hilft, könnte es an der SSL-Renegotiation liegen damit hatte ich im Firefox schon mal Probleme. Dazu öffnest du die Seite about:config und setzt die Einstellung security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True. Alternativ lässt sich die SSL-Renegotiation auch nur für bestimmte Hosts aktivieren, diese lassen sich in der Eigenschaft security.ssl.renego_unrestricted_hosts eintragen.

Grüße Uwe
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 12:11 Uhr
Also das riecht ein wenig streng...
Kannst du mal das www.startssl.com Zertifikat zeigen welches bei dir am Arbeitsplatz erscheint?

Gruß

Andi
Bitte warten ..
Mitglied: Coreknabe
01.10.2014, aktualisiert um 12:53 Uhr
@colinardo: Das ist ein öffentlich zugänglicher Server für unsere Studenten. Wenn ich denen (in 90% der Fälle wenig technik-affin) diesen Lösungsweg vorschlage (habe nicht probiert, ob es hilft), haben wir hier einen enormen Supportaufwand. Ich hätte gehofft, dass es eine einfachere Lösung gibt, so würde ich eher Chrome oder notfalls auch den Internet Explorer vorschlagen, der Firefox soll dann gar nicht genutzt werden.

@andi: Wenn Du das Zertifikat meinst, dass bei Aufruf des Controlpanels erscheint: Nö, leider nicht. Wie Du auf dem Screenshot siehst, ist das Feld "Ansehen..." ausgegraut, herunterladen kann ich das Zertifikat auch nicht, dann erscheint der Text "Der Identifikations-Status der angegebenen Website konnte nicht bezogen werden."

Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 13:01 Uhr
Zitat von Coreknabe:
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Kann ich bestätigen, hatte mich seit längerem dort nicht mehr eingeloggt, und gerade versucht mich einzuloggen. Ich bekam jedoch nicht die Meldung das das Zertifikat ungültig ist, sondern die Verbindung wurde einfach zurückgesetzt und abgebrochen. Hier half der obige Fix. Ich denke es liegt daran das Mozilla gerade die Struktur für die Überprüfung von Zertifikaten ändert. Aber die Probleme haben seit Version 32.x.x zugenommen, wird langsam nervig

Hier kommt gerade der nächste der die gleichen Probleme hat:
http://www.administrator.de/forum/firefox-neuste-version-problem-der-id ...
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 13:18 Uhr
OK, habe mir jetzt rein interessehalber mal einen Testrechner geschnappert und security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True gesetzt. Ändert bei uns nix am Problem, auch der Eintrag von Hosts nicht.

Schade, werden wir wohl dazu übergehen, den Firefox aus den Lehrsälen zu verbannen und künftig Chrome als "Alternativbrowser" empfehlen. Wobei Alternativbrowser ja stark untertrieben ist, ich habe schon seit Ewigkeiten keinen Internet Explorer mehr benutzt und kenne auch nur wenige Leute, die darauf Wert legen. War schön, mit dir, Firefox... Muss man leider zugeben, dass die Anlehnung von Chrome an den Internet Explorer (Zertifikatsspeicher und Co.) schlauer war...

Vielen herzlichen Dank für Eure Hilfe!
Bitte warten ..
Mitglied: AndiEoh
01.10.2014 um 13:33 Uhr
Firefox 32.0.3 funktioniert hier ohen Work-Around einwandfrei mit StartSSL...

Gruß

Andi
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 14:49 Uhr
Eventuell liegt es auch an den persönlichen Zertifikaten die vor dem Heartbleed-Fix mit einer verwundbaren OpenSSL-Version erstellt wurden, so dass Firefox nur die Verwendung dieser blockt. Werde das mal austesten...

-edit- das Löschen des Identitätszertifikates und erneute Importieren in die Zertifikate hat den Fehler bei mir im Firefox behoben.
Bitte warten ..
Mitglied: Coreknabe
01.10.2014 um 16:57 Uhr
Hm... vielleicht und wahrscheinlich liegt mein Problem, dass ich mit dem "Arbeitsplatz-Firefox" StartSSL nicht aufrufen kann, in der lokalen Konfig. Ist mir jetzt zu dumm, habe das Authentifizierungszertifikat für Chrome installiert, damit geht es.

@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 17:06 Uhr
Zitat von Coreknabe:
@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Das Zertifikat das man zum Anmelden im StartSSL Controlcenter verwendet (Authentifizierungszertifikat)
Bitte warten ..
Mitglied: Coreknabe
02.10.2014 um 09:48 Uhr
OK, Verbindung mit StartSSL Controlpanel funktioniert jetzt auch wieder. Danke, Uwe!
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Webbrowser
gelöst Firefox 50 downloads stocken ohne Internet Verbindung (2)

Frage von LordXearo zum Thema Webbrowser ...

Webbrowser
Zero-Day-Lücke in Firefox bedroht Tor-Anwender (1)

Link von runasservice zum Thema Webbrowser ...

Informationsdienste
gelöst Aktuelle Firefox MSI Datei!? (8)

Frage von Hendrik2586 zum Thema Informationsdienste ...

Windows Server
FireFox AppCrash

Frage von joerg zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...