Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Zertifikats-Sicherheitsüberprüfung in FF3 (fast) abschalten

148 views
Skip to first unread message

franc walter

unread,
Dec 19, 2008, 6:45:59 AM12/19/08
to
Hallo,
seit Firefox 3.x ist die Zertifikatsüberprüfung sehr lästig geworden:
Hat man eine Seite mit einem abgelaufenen oder selbst signierten Zertifikat,
wird diese von Firefox mit einer Fehlermeldung quittiert:

Sichere Verbindung fehlgeschlagen
...
Fehlercode: sec_error_ca_cert_invalid

Man kann dann mit einigem Klicken eine Ausnahme hinzufügen, die dann bei den
Zertifikaten (Extras / Einstellungen / Erweitert / Verschlüsselung /
Zertifikate / Server) gespeichert wird.
Gerade aber wenn man viel mit eigenen Zertifikaten zu tun hat wird man diese
Klickorgien schnell leid.

Etwas hilft hier, wenn man unter about:config die ff. Werte setzt:

browser.ssl_override_behavior=2
browser.xul.error_pages.expert_bad_cert=true

Nützlich ist auch das FF-Addon Perspectives von:

http://www.cs.cmu.edu/~perspectives/

Noch bequemer fährt man aber mit dem Addon "MitM Me (SSL Error Bypass) 1.21"
von:

https://addons.mozilla.org/de/firefox/addon/6843

Mit dieser kann man das Abwinken eines fehlerhaften Zertifikates auf einen
Klick reduzieren.

P.S.:
Es gibt übrigens einen Bericht in der c't 20/08 über die neue
Zertifikatsprüfung von Firefox 3 auf Seite 162 ff.

Thomas Gohel

unread,
Dec 19, 2008, 8:32:00 AM12/19/08
to
franc walter meinte zum Thema "Zertifikats-Sicherheitsüberprüfung in FF3 (fast) abschalten"

Hallo franc,

> seit Firefox 3.x ist die Zertifikatsüberprüfung sehr lästig geworden:
> Hat man eine Seite mit einem abgelaufenen oder selbst signierten
> Zertifikat, wird diese von Firefox mit einer Fehlermeldung quittiert:

Das wäre wenigstens schön, aber wenn Firefox an dieser Stelle zusätzlich
auf eine .htacccess (seitens des Webservers) aufläuft, dann rennt der
Fuchs nur noch in einer Endlosschleife mit leeren Dialogfeldern herum.

Tschau,

--------------
/ h o m a s
--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.

franc walter

unread,
Dec 19, 2008, 8:39:28 AM12/19/08
to
Am 19 Dec 2008 14:32:00 +0100 schrieb Thomas Gohel:

> ... dann rennt der Fuchs nur noch in einer Endlosschleife
> mit leeren Dialogfeldern herum.

Das ist ja furchtbar! Das ist mir gottlob noch nie passiert.

Florian Diesch

unread,
Dec 19, 2008, 9:55:40 AM12/19/08
to
franc walter <franc...@gmx.de> wrote:

> seit Firefox 3.x ist die Zertifikatsüberprüfung sehr lästig
> geworden:

Wozu soll das neue Verhalten eigentlich gut sein? Mein erster Gedanke
dabei war "Entweder da hat jemand den Sinn von HTTPS nicht verstanden,
oder die MoFo hat Geld von Thawte o.ä. bekommen"


[...]


> Mit dieser kann man das Abwinken eines fehlerhaften Zertifikates auf einen
> Klick reduzieren.

Sinnvoll wäre, zwischen fehlerhaften, abgelaufenen und
nicht überprüfbaren Zertifikat zu unterscheiden. In den meisten
Fällen ist es ja völlig egal, von wem das Zertifikat erstellt wurde,
da will man nur eine verschlüsselte Verbindung und evtl. einen
überprüfbaren Fingerprint.

Florian
--
<http://www.florian-diesch.de/>
-----------------------------------------------------------------------
** Hi! I'm a signature virus! Copy me into your signature, please! **
-----------------------------------------------------------------------

Thomas Gohel

unread,
Dec 20, 2008, 5:22:00 AM12/20/08
to
franc walter meinte zum Thema "Re: Zertifikats-Sicherheitsüberprüfung in FF3 (fast) abschalten"

Hallo franc,

>> ... dann rennt der Fuchs nur noch in einer Endlosschleife


>> mit leeren Dialogfeldern herum.
> Das ist ja furchtbar! Das ist mir gottlob noch nie passiert.

FF abschiessen und neu starten. Da das Zertifikat zum Glück bereits
angenommen und auch erfolgreich abgespeichert wurde, erscheint dann
ganz normal der AUTH-Dialog. Nervig ist es schon, wobei natürlich an
dieser Stelle auch NoScript Ärger machen könnte, mhhh ...

Tschau,

--------------
/ h o m a s
--

Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen

Message has been deleted

Daniel Seuthe

unread,
Dec 24, 2008, 7:18:07 PM12/24/08
to
Florian Diesch schrieb:

> franc walter <franc...@gmx.de> wrote:
>
>> seit Firefox 3.x ist die Zertifikatsüberprüfung sehr lästig
>> geworden:
>
> Wozu soll das neue Verhalten eigentlich gut sein? Mein erster Gedanke
> dabei war "Entweder da hat jemand den Sinn von HTTPS nicht verstanden,
> oder die MoFo hat Geld von Thawte o.ä. bekommen"

Thawte, wie noch einige andere, gehört übrigens mittlerweile zu
Verisign.

Daniel
--
http://seuthe.org

Florian Diesch

unread,
Dec 29, 2008, 6:16:25 PM12/29/08
to
Daniel Seuthe <nos...@seuthe.org> wrote:

Gegründet wurde Thawte von Mark Shuttleworth, der mit dem
Verkaufserlös u.a. Ubuntu-Linux finanziert.

Florian Diesch

unread,
Dec 29, 2008, 7:16:16 PM12/29/08
to
Ralf Döblitz <doeb...@doeblitz.net> wrote:

> Florian Diesch <die...@spamfence.net> schrieb:


>> franc walter <franc...@gmx.de> wrote:
>>
>>> seit Firefox 3.x ist die Zertifikatsüberprüfung sehr lästig
>>> geworden:
>>
>> Wozu soll das neue Verhalten eigentlich gut sein? Mein erster Gedanke
>> dabei war "Entweder da hat jemand den Sinn von HTTPS nicht verstanden,
>> oder die MoFo hat Geld von Thawte o.ä. bekommen"
>

> Im Gegenteil, da *hat* jemand den Sinn von HTTPS verstanden. Ein
> Zertifikat sollte nicht nur daraufhin geprüft werden, ob es zum Server
> paßt, sondern man sollte auch die CA und deren CRL prüfen.

SSL bietet drei voneinander unabhängige Sicherheits-Funktionen:
1. Verschlüsselung der Verbindung
2. Vergleich von Zertifikaten durch Fingerabdruck
3. Authentifizierung über eine CA

Es spricht nichts dagegen, in manchen Fällen 3. nicht nutzen zu
wollen.

Dadurch, dass FF3 um ein Nicht-Problem einen riesen Wirbel macht, wird
die Aufmerksamkeit des Benutzers für echte Probleme, z.B. nicht zur
URL passende Zertifikate, vermindert, der Benutzer wird daran gewöhnt,
Warnungen wegzuklicken.

Dazu kommt, dass die Authentifizierung über eine CA
sicherheitstechnisch nur sinnvoll ist, wenn die CA auch
vertrauenswürdig ist. FF3 unterscheidet aber nicht, wie zuverlässig
die Authentifizierungs-Verfahren der verschiedenen CA sind.

>
>> [...]
>>> Mit dieser kann man das Abwinken eines fehlerhaften Zertifikates auf einen
>>> Klick reduzieren.
>>
>> Sinnvoll wäre, zwischen fehlerhaften, abgelaufenen und
>> nicht überprüfbaren Zertifikat zu unterscheiden.
>

> Wozu? Da ist etwas fehlerhaft

Nein.

> und man muß das Zertifikat grundsätzlich manuell prüfen,

Was willst du manuell prüfen, wenn das Zertifikat von
https://example.com von Example Inc. signiert ist?


Sinnvoll wäre eine dicke, fette Warnung, wenn das Zertifikat nicht zur
URL passt oder der Fingerabdruck sich seit dem letzten Besuch der
Seite geändert hat, eine kurze Warnung, falls das Zertifikat
abgelaufen ist und z.B. unterschiedliche Schloss-Symbole,
URL-Zeilen-Farben o.ä. für überprüfbare und nicht-überprüfbare Zertifikate.


> wenn man nicht eh gleich hart blockt (was die akzeptable
> Alternative wäre).

Wäre es für dich tatsächlich akzeptable, z.B. ein Studium abzubrechen,
weil die Seiten zur Prüfungsanmeldung nur von der Uni signierte
Zertifikate haben?

Was genau spricht denn dagegen, dass z.B. www.berlios.de oder viele
Mailinglisten-Anmeldeformulare selbstsignierte Zertifikate verwenden?

>> In den meisten Fällen ist es ja völlig egal, von wem das Zertifikat
>> erstellt wurde,
>

> Nö, da soll sich niemand dazwischenhängen können. MitM wäre ohne Prüfung
> der CA wirklich trivial.

MitM ist trivial, wenn der Benutzer fette Warnungen bei
SSL-Verbindungen gewohnt ist.

In viele Fällen ist MitM auch einfach kein relevantes Problem, da gibt
es dann auch keinen Grund, Geld für ein Zertifikat auszugeben.

Message has been deleted
0 new messages