[gelöst!] Firefox Problem bei SSL Seiten Zertifakte?

Hallo,

ich habe den Firefox 3.6.2 drauf und Thunderbird 3.0.3

Egal auf welche SSL Seite ich gehe bekomme ich immer folgende Meldung



Meine E-Mails bei GMX hohle ich auch per SSL Verbindung dort erkennt er das Zertifikat auch nicht mehr an. Ich habe es jetzt auf die Ausnahmen Liste gesetzt dann läufts wieder.

Aber das kann ja nicht sinn der Sache sein.

Jemand vielleicht eine Idee woran das liegen kann? Such da schon seit gestern Abend rum finde aber nichts dazu.

Hi

Ruf doch mal about:config auf und sieh dir da mal die ssl Einstellungen an.
Ist da irgendwas drunter was nicht dem Standard entspricht und eventuell von Hand angelegt worden ist?

cu

Ich habe den Firefox jetzt auf die Version 3.5.8 downgegraded und auch Thunderbird auf die 3.0.3 aus dem Update Repo gebracht jetzt läuft das ganze wieder.

Ich denke es liegt daran das im Firefox 3.6.2 und im Thunderbird gerade mal 3 oder 4 Zertifizierungsstellen gespeichert waren. Im 3.5.8 sind es bestimmt 20 oder mehr.

Jetzt gehts auf jedenfall wieder. Mit dem 3.6 hatte ich das Problem allerdings nicht.

Welche Version verwendest du?

Momentan läuft alles auf OpenSuse 11.2

Daniel_17 schrieb:

Welche Version verwendest du?

Zum Vergrößern anklicken....

FF 3.6

Trotzdem Merkwürdig, wird Zeit den aktuellen mal zu testen. :???:

Hi Daniel,

Daniel_17 schrieb:

Ich denke es liegt daran das im Firefox 3.6.2 und im Thunderbird gerade mal 3 oder 4 Zertifizierungsstellen gespeichert waren. Im 3.5.8 sind es bestimmt 20 oder mehr.

Zum Vergrößern anklicken....

ganz so einfach ist es nicht.
Es kommt nicht auf die Anzahl der implementierten Herausgeberzertifikate an, sondern ob exakt das für Verifizierung eines bestimmten Serverzertifikates benötigte Herausgeberzertifikat vorhanden ist. Und hierbei betone ich das Wort "exakt".

Die verantwortungsbewusste (!!) Einschätzung, welches Trustcenter als vertrauenswürdig gilt, und die Integration all derer Zertifikate ist sozusagen eine Serviceleistung der "Bereitsteller" der diversen Browser und Mailclients. Diese Firmen ("Bereitsteller") nehmen dem Anwender also die Verantwortung einer eigenen Entscheidung hinsichtlich der Zuverlässigkeit des Trustcenters ab. (Ohne diesen Service würden wohl 90% aller Nutzer immer ohne Nachdenken auf "du darfst" klicken ...)

Jetzt kann es zum einen jederzeit passieren, dass ein Serverzertifikat ausläuft - und die Verantwortlichen es einfach verpennen, rechtzeitig ein neues Zertifikat zu kaufen. (Das ist schon großen Firmen passiert!) Hier wäre ein manuelles "ich vertraue dir ewig" gleichzusetzen mit dem Herausdrehen des Birnchens für die Öldruckkontrolle ... .

Die andere Variante ist, dass ein Serverzertifikat ausgelaufen ist, und die Verantwortlichen rechtzeitig ein neues Zertifikat gekauft haben (= der Normalfall!). Jetzt gibt es viele Trustcenter, die auch ihre Herausgeberzertifikate mit denen sie die User- und Serverzertifikate signieren, ab und an den neuen Gegebenheiten anpassen. Zum Bsp. die notwendige Vergrößerung der Schlüssellänge aller paar Jahre ... . (Eigentlich machen das alle so, in einigen Bereichen sind sogar "Jahres-CA" üblich.)

Sollte dieser Fall eintreten, dann fehlt dir einfach das benötigte Zertifikat des Herausgebers zur Gegenprüfung! Es ist zwar ein freiwilliger und sehr netter Service, die Zertifikate immer beizulegen, aber kein "Bereitsteller" eines Browsers usw. kann immer den Bestand an Herausgeberzertifikaten ständig im Blick haben und sofort reagieren. Ich schrieb ja schon, es ist ein ... Service.


MfG Peter

Ich hatte auch schon mal Probleme mit den Zertifikaten weil meine Systemzeit völlig daneben war - dann passt eben nichts mehr zusammen...

@ /dev/null

Das leuchtet mir schon ein was du meinst sehe ich genauso. Aber mit der Version 3.6.2 konnte ich weder meine Bank Seite noch paypal amazon oder sonst was gängiges besuchen. Und das all die Unternehmen ihre Zertifikate nicht aktuell halten wage ich zu bezweifeln.

Das ist im Netz sowieso so eine Sache welcher Website vertraue ich welcher nicht. Selbst namhaften Betreibern sind da schon Fehler unterlaufen.

Was hat Mozilla wohl dazu bewogen die Zertifizierungsstellen von 20-30 auf 4 zu reduzieren?

Hier noch einen Link was den 3.6 und den 3.6.2 angeht. Vielleicht wurde der 3.6.2 etwas zu schnell veröffentlicht. Bei mir bleibt der 3.5.8 erstmal drauf.

http://www.linux-magazin.de/NEWS/Gefaehrliche-Luecke-BSI-warnt-vor-Firefox-3.6

Ich habe nicht behauptet, dass in FF 3.6.2 kein Fehler drin sein kann. Diese Aussage würde ich nie treffen. Der erste Bugfix straft eine solche Aussage Lügen ... .

Du glaubst nicht, dass (mitunter) Unternehmen die Erneuerung ihrer Zertifikate verpennen? Ich habe selbst schon einen großen dt. Internetprovider auf sein Versäumnis hingewiesen. Als jemand, der täglich mit Zertifikaten umgeht, habe ich für so was ein Auge. Und wenn eine diesbezgl. Fehlermeldung kommt schaue ich mir ganz schnell das Zertifikat an ... . Und ich weiß auch, wie nett Leute werden, wenn sie 2 Std. vor Ablauf ein neues Zertifikat benötigen.

Das ist im Netz sowieso so eine Sache welcher Website vertraue ich welcher nicht.

Zum Vergrößern anklicken....

DAS schafft auch das teuerste und "sicherte" Zertifikat der Welt nicht! Es ist auch nicht seine Aufgabe.
Wenn du ein mit einer (qualifizierten oder zumindest fortgeschrittenen) elektronischen Signatur einer bestimmten natürlichen Person versehenes Dokument oder eine entsprechende E-Mail erhalten hast, dann garantiert dir das Trustcenter, dass dieses Zertifikat (Chipkarte) an genau diese natürliche Person ausgegeben wurde. Die Nachricht ist also bei korrekter Signatur authentisch und integer.
Das Zertifikat (die Signatur) sagt aber absolut nichts darüber aus, ob der dahinter stehende Mensch ein "guter" oder ein "böser" ist.

Gleiches trifft für ein Serverzertifikat zu. Der Betreiber eines Servers geht mit einem Identifikationsdokument (Handelsregisterauszug o.ä.) zu einem Trustcenter und kauft dort nach Überprüfung und Nachweis seiner eigenen Identität und Berechtigung (= Geschäftsführer oder Beauftragter?) und der Identität der Firma ein Zertifikat für den Server.
Die mit diesem Zertifikat gesicherte SSL-Verbindung garantiert (*) dir, dass es sich bei der genutzten Verbindung um exakt den Server handelt, an dessen Firma das o.g. Zertifikat ausgegeben wurde, und du nicht etwa einem Fake, MITM oder ähnlichem aufgesessen bist.
Die ohne Warnung realisierte SSL-Verbindung sagt aber nichts darüber aus, ob die Firma und somit der Server oder die Webseite vertrauenswürdig ist! Auch eine "Verbrecherfirma" kann sich ein Zertifikat kaufen, oder einen Strohmann oder einen "Dummen" vorschicken.
(*) Wir sprechen nie von "Sicherheit", sondern immer nur von "mit an Sicherheit grenzender Wahrscheinlichkeit".

Was hat Mozilla wohl dazu bewogen die Zertifizierungsstellen von 20-30 auf 4 zu reduzieren?

Zum Vergrößern anklicken....

Da musst du sie schon selbst fragen
Ich kann nur vermuten: Die Version musste raus. Und die hatten nicht die Zeit/Manpower/Ressourcen, um alle gängigen Trustcenter abzuklappern nach den aktuellsten Zertifikaten. Ich schrieb ja schon 2x: Serviceleistung, keine Pflicht ... .

So, ich denke, jetzt wird es [OT]. Es geht langsam an der eigentlichen Frage vorbei ... .

MfG Peter

Hallo Peter,

ich glaube ich habe mich vielleicht falsch ausgedrückt. Ich glaube dir sehr wohl das hier das ein oder andere im Argen ist. Und so manches große Unternehmen wo man es gar nicht denken will hier einfach schläft.

Was die Zertifizierungsstellen angeht ich habe den Firefox 3.6.2 heute mal auf den Rechner meines Vaters (Windows Vista) installiert. Hier sind es auch 20-30 Stellen scheinbar wurde es nur bei der Linux Version vergessen.

Manchmal glaube ich man sollte lieber eine Seltenen Browser benutzen zumindest was die Sicherheitslücken angeht fährt man da wohl besser. Will nicht sagen das die keine Lücken haben aber für einen Hacker ist der Firefox bzw IE doch interessanter.

Hier sind es auch 20-30 Stellen scheinbar wurde es nur bei der Linux Version vergessen

Zum Vergrößern anklicken....

Kann so nicht stimmen. Bei meiner 3.6.2 sind auch so 20-30 Stellen aufgeführt. Der von Dir beschriebene Fehler tritt bei mir nicht auf.


Dietger

Ich sagte ja, dass es eine Art Service ist, dass die "Bereitsteller" der diversen Browser, Mail- und sonstiger Programme nach sorgfältiger Prüfung eine kleine Auswahl als vertrauenswürdig bekannter Zertifizierungsstellen bereits mitliefern. Es gibt aber derer noch viiiiel mehr.

Also was machst du, wenn der Herausgeber eines bestimmten Zertifikates nicht mit vorinstalliert ist? (*)
Du schaust dir das Zertifikat der Webseite (oder das entsprechende Userzertifikat bei einer signierten Mail) genau an. Darin ist der Herausgeber (TC Trustcenter, Verisign usw.) genauestens bezeichnet. Und nicht nur der Herausgeber als Firma, sondern auch noch ganz genau die betreffende CA. Und sogar die Seriennummer des Herausgeberzertifikates.
Jetzt gehst du auf die Webseite des betreffenden Trustcenters und schaust dort nach deren Herausgeberzertifikaten. Entweder du suchst jetzt das richtige heraus, oder du lädst einfach alle runter und installierst sie. Dauert keine 5 Minuten, und es kann keinesfalls schaden, wenn du von einem als vertrauenswürdig anerkannten TC ein paar Herausgeberzertifikate zuviel installiert hast. Auch von der Menge der mitgelieferten nutzt du doch auch nur 2 oder 3 ... .

IMHO sollte dieses Verfahren sogar die Regel sein. ICH als Nutzer spreche BEWUSST einem Herausgeber von Zertifikaten mein Vertrauen aus, und vertraue darauf, dass dieser die Personen und Firmen, denen er ein Zertifikat verkauft, vorher zuverlässig identifiziert. Denn um nichts anderes geht es bei den vermaledeiten Zertifikaten ... .

(*) Aber was macht der ONU? Er klickt auf "du darfst immer". (=> Kölner Grundgesetz, Artikel 4: "Et hat noch immer jot jejange.")

In diesem Sinne!

MfG Peter

/dev/null schrieb:

(*) Aber was macht der ONU? Er klickt auf "du darfst immer". (=> Kölner Grundgesetz, Artikel 4: "Et hat noch immer jot jejange.")

Zum Vergrößern anklicken....

Hi Peter

Nicht immer.
Ich kenne auch einige Fälle wo "et in dä bux jejange est"

Wenn Zertifikate nicht mehr erkannt werden, bitte prüfen, ob die Datei
/usr/lib(lib64)/libnssckbi.so vorhanden ist und wenn nicht, dann das Paket mozilla-nss-certs installieren.

Wolfgang

Wollte gerade wieder auf das Mozilla Repo umstellen weil ja jetzt der 3.6.3 draußen ist. Dann kann ich allerdings keine Webseiten mehr aufrufen.

Der Firefox öffnet sich zwar dann allerdings sobald ich nach der Eingabe einer Webseite Enter drücke passiert gar nix. Hat jemand ähnliche erfahrungen gemacht?

Hab jetzt wieder den aus dem Originalen OpenSuse Repo drauf damit läuft wieder alles.

Ist schon verrückt hatte früher nie Probleme mit dem Firefox

Habe gerade mal in die Fehlerconsole geschaut. Da scheint was im Argen zu sein. Für mich allerdings Spanische Dörfer.



Das Paket Xulrunner 1.9.2.3 ist auch installiert. Allerdings sind auch Pakete Von 1.9.1.x drauf. Weiß nicht ob diese noch benötigt werden oder ob das der Grund ist warum hier nichts läuft. Kann ich aber fast nicht glauben dann würde Yast die Pakete ja runter schmeißen.

Oder was glaubt ihr?

Das Spuckt er aus wenn ich ihn aus der Konsole starte

Problem gelöst

habe jetzt über all die neueste Version installieren können.

Bin so vorgegangen.

Da ich mich nicht mehr recht ausgekannt habe welches Paket denn nun aus welchem Repo war habe ich das Mozilla Repo ausgeschaltet danach zypper dup ausgeführt. Dann funktioniert Firefox und Thunderbird wieder.

Jetzt zypper patch alles auf die Neuste Version.

Dann alles über zypper manuell eingegeben welche Version ich genau haben will. Siehe da dann läufts. Vorher hatte ich mit Yast gearbeitet.

@woro

Vielen Dank übrigens für deinen Tipp. Sobald ich bei mir auf die Mozilla Repos umstelle verschwindet die besagte libnssckbi.so ich habe dann mit zypper das Paket mozilla-nss-certs neu installiert dann ist auch das Problem mit den Zertifikaten vergessen. Warum allerdings die Datei beim Update verschwindet ist mir schleierhaft.

Egal bin froh das alle wieder läuft. Opera lag mir nicht sonderlich

Daniel_17 schrieb:

Warum allerdings die Datei beim Update verschwindet ist mir schleierhaft.

Zum Vergrößern anklicken....

Mir allerdings auch!

Im Paket mozilla-nss steht:
Requires: mozilla-nss-certs

Das ist eigentlich ziemlich eindeutig und sollte/darf von RPM/libzypp nicht ignoriert werden.
Ist eigentlich nur die Datei danach verschwunden oder ist das ganze Paket mozilla-nss-certs nicht installiert?

Nur die Datei fehlt danach das Paket ist weiterhin drauf zumindest laut zypper

Deswegen merkt der Paketmanager auch nix das hier eine Datei fehlt

Daniel_17 schrieb:

Nur die Datei fehlt danach das Paket ist weiterhin drauf zumindest laut zypper

Deswegen merkt der Paketmanager auch nix das hier eine Datei fehlt

Zum Vergrößern anklicken....

Sorry, dass ich nochmal nachfrage. Ich würde es gerne genau wissen, um zu sehen, wo das Problem liegt.

Also libnssckbi.so fehlt aber ist in diesem Moment mozilla-nss-certs installiert? (also nicht nur mozilla-nss)

Und das ganze Upgrade machst du per zypper? oder yast? oder was anderes?

Danke

Sorry habe mich vielleicht etwas umständliche ausgedrückt.

Die Datei ist wieder da seitdem ich das Paket "mozilla-nss-certs" neu installiert habe. Soll bedeuten das Paket hat nicht gefehlt sondern nur die besagte Datei "libnssckbi.so" fehlte nach dem Umstieg von 3.5.8 auf 3.6.3. Vorher war die "libnssckbi.so" noch da. Das Paket "mozilla-nss-certs" war die ganze Zeit da nur die Datei verschwand nach dem Update. Deswegen habe ich weiter Oben in einem Beitrag geschrieben das Zypper gar nix dafür kann weil es ja das Paket "mozilla-nss-certs" findet und es deswegen auch nicht neu installiert.

Ich hoffe du kannst folgen. Wennst noch fragen hast gerne.