Mozilla Firefox 3.0 – verwendet ein ungültiges Sicherheitszertifikat
20. Juni 2008 Feedback schreibenDer neue Mozilla Firefox 3.0 wirft bei einigen Seiten die keine gültigen Sicherheitszertifikate haben folgende Fehlermeldung aus:
xxx.xxx.xxx.xxx verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil es selbst unterschrieben wurde.
Das Zertifikat gilt nur für <a id=”cert_domain_link” title=”xxx.xxx.xxx.xxx”>xxx.xxx.xxx.xxx</a>.(Fehlercode: sec_error_untrusted_issuer)
Hier ein Screenshot der Fehlermeldung:
Diese Fehlermeldung ist zwar gut für eure eigene Sicherheit aber manchmal muss man auch auf solche Seiten die diese Fehlermeldung auswerfen zugreifen können. Um dieses möglich zu machen habe ich mal wieder eine kleine Lösung für euch parat.
- Menüpunkt “Extras” klicken
- Reiter “Verschlüsselung” klicken
- Button “Zertifikate anzeigen” klicken
- Button “Ausnahme hinzufügen” klicken
- URL der betroffenen Seite eingeben
- Button “Zertifikat herunterladen” klicken
- Button “Sicherheits-Ausnahmeregel bestätige” klicken
- Fertig!
Jetzt sollte die Seite ohne Probleme im Mozilla Firefox 3.0 aufrufbar sein.
Achtung: Bitte diese Ausnahmen nur für Webseiten verwenden denen ihr auch wirklich vertraut.
Schlagworte: Fehlermeldung, Sicherheitszertifikat, Zertifikat
Vielen Dank für die Erklärung, aber – zumindest für meinen Fall – ist sie nicht ganz vollständig. Es müsste heißen:
* Menüpunkt “Extras” -> “Einstellungen…” klicken
* Reiter “Erweitert” klicken
* Reiter “Verschlüsselung” klicken
* Button “Zertifikate anzeigen” klicken
* Reiter “Server” klicken
* Button “Ausnahme hinzufügen” klicken
* URL der betroffen Seite eingeben
* Button “Zertifikat herunterladen” klicken
* ggf. Zertifikat “Ansehen…”
* ggf. “Diese Ausnahme dauerhaft speichern” markieren
* Button “Sicherheits-Ausnahmeregel bestätigen” klicken
* Fertig!
Ich bekomme diese Meldung von nahezu allen https-Sites, die ich besuche. Dazu gehört mozilla.com, yahoo.com, kabeldeutschland.de usw. Unterschreiben die alle ihre Zertifikate selbst? Dann kann man ja das ganze Zertifizierungssystem in die Tonne drücken. Oder ist da ein Spoof im Gange? Der Spoofer wird selbstverständlich alle Zertifikate, die er abfangen kann, kopieren und selbst unterschreiben – aber genau dann sollte man keine Ausnahmen zulassen. Nur, wie merke ich, ob es ein Spoof ist, oder ob die Anbieter tatsächlich ihre eigenen Zertifikate unterschreiben?
Habe das gleiche Problem wie Andre.
Kann leider kein Addon von Mozilla laden und selbst wenn ich eins von einer anderen Seite installieren will, verweigert FF die Installation! : (
Habe einen Artikel dazu gefunden:
Firefox 3 ist da. Feine neue Funktionen und willkommene optische Auffrischung. Für den Einsatz im Umfeld von Forschung und Lehre in Deutschland ist er aber ungeeignet.
Weshalb? Die Reaktion auf ungültige bzw. nicht vertrauenswürdige SSL-Zertifikate wurde – wie schon bei Microsofts Internet Explorer 7 – drastisch verschärft. Bekam der Nutzer früher bei unbekannten oder falschen Zertifikaten nur eine Warnung angezeigt, die relativ leicht wegzuklicken war, gibt es jetzt eine dramatisch daherkommende Fehlermeldung zu sehen:
Firefox 3 Sicherheitswarnung Stud.IP
Das sieht sehr technisch aus. “sec_error_untrusted_issuer”. Sowas macht Nutzern Angst und riecht meilenweit nach: “Da ist was kaputt!” Die Lösung wäre: Hinzufügen einer Ausnahme oder Import des richtigen Wurzelzertifikats. Das ist aber für technisch Ängstliche oder Unsichere etwas, das gefährlich und unseriös wirkt und außerdem sind noch 5 Klicks dafür nötig.
Betroffen sind nahezu alle gesicherten Webangebote deutscher Hochschulen und wissenschaftlicher Einrichtungen. Fragt man sich also: Warum passiert das? Warum sind die Unis nicht in der Lage, ordentliche Zertifikate zu benutzen?
Personalisierte Webdienste verschlüsseln in der Regel die Verbindung. Man erkennt das an dem https:// anstelle von http:// in der Adresszeile und einem Schloss, gelb gefärbter Adresszeile u.ä. in ihrem Browser. Verschlüsselte Verbindungen zu benutzen ist etwas sehr Sinnvolles und Wichtiges. Welchen Weg meine Daten von meinem Browser zum Webserver und zurück nehmen, habe ich nicht unter Kontrolle und kann den Rechnern und Leitungen dazwischen nicht vertrauen. Damit niemand mitlauschen, mein Passwort abfangen, in meinem Namen Unug treiben oder meine Daten und Kommunikation ausspähen kann, unterhalten sich Browser und Server also in einer Geheimsprache. Unverschlüsselt surfen ist wie Postkarten verschicken.
Im bösen Internet könnte sich jetzt aber unterwegs ein Server dazwischensetzen und so tun als wenn er meine Uni oder meine Bank wäre. Mit mir und dem Server handelt er jeweils getrennt die Verschlüsselung aus und kann als “man in the middle” unbemerkt mitlauschen. Damit das nicht passieren kann, will ich wissen: Ist das da wirklich meine Uni? Ist das wirklich meine Bank? Kann ich dem Webserver vertrauen?
Die Frage nach dem Vertrauen führt zu den Zertifikaten. Wenn mir das auf sicherem Weg übermittelt wurde (z.B. durch persönliche Übergabe), kann ich es mit dem vom Server behaupteten vergleichen und sicher gehen: Ja, Identität stimmt. In der Regel werden Zertifikate aber nicht auf sicherem Wege übermittelt. Ich kenne Herrn Ebay ja gar nicht persönlich und Frau Sparkasse ebensowenig.
Also steht im Zertifikat meiner Uni drin: “Wenn du mir nicht glaubst, frag doch den DFN-Verein, der kennt mich und hat bei mir unterschrieben.” Der DFN-Verein kümmert sich um das Deutsche Forschungsnetz, dem alle Hochschulen und wissenschaftlichen Einrichtungen angeschlossen sind. Mein Browser kennt aber das Zertifikat vom DFN-Verein auch nicht und muss achselzuckend sagen: “Schön, dass ihr euch kennt, aber DFN-Verein sagt mir nichts.” Also der Hinweis: “Dann frag doch die Deutsche Telekom, die kennt den DFN-Verein und hat hier unterschrieben.”
Das Telekom-Zertifikat ist ein so genanntes Wurzelzertifikat. Mein Browser sollte es von Hause aus kennen. Der Internet Explorer 7 tut das auch: Keine Fehlermeldungen beim Aufruf verschlüsselter Uni-Angebote also.
Der Firefox kennt das Zertifikat aber nicht. Früher nicht und heute auch nicht. Man kann jetzt lange orakeln, wessen Schuld das ist: Jedenfalls versucht die Telekom seit mehr als einem Jahr die Anerkennung und Aufnahme ihres Zertifikates durch Firefox bzw. die Mozilla Foundation zu erreichen. Der ganze Vorgang ist öffentlich und im Mozilla-Bugtracker in allen Einzelheiten nachzulesen: https://bugzilla.mozilla.org/show_bug.cgi?id=378882
Das Fazit muss also leider lauten: Firefox 3 wird für Unis teuer und für Studierende und Lehrende ein Ärgernis. Jedes Rechenzentrum schreibt wieder Anleitungen dazu, wie die Zertifikate in den Browser importiert werden können. Und bei unserem Support laufen die Telefone und E-Mail-Postfächer heiß: “Stud.IP ist kaputt. Mein Browser zeigt nur noch Fehler an.”
Tags: DFN, Firefox 3, Sicherheit, Zertifikat
theleprompt
Die Außenwelt der Innenwelt eines Mitarbeiters einer zentralen wissenschaftlichen Einrichtung nach §117 (altes) NHG.
Kategorien
ärzte 9to5 alltag außergewöhnliche rechtschreibleistungen bald… e-learning früher games heimcomputer hochschulemorgen Kunst literaturhighlights mbg musique riga spam spiele sprache umsteigen – aussteigen – abschalten – kündigen usability verehr virtUOS wikipedia wissenschaft www
…
Also Zertifikate manuell isntallieren?
Danke für die Tipps. Ich war schon ganz verzweifelt, weil ich auf wichtige Seiten nicht mehr zugreifen konnte.
Leute! vielen Dank für tolle Anleitungen. Ist ja wirklich ein Phänomen, dass FF einer manuellen Zertifikat-Importierung bedarf :(
DAs ist kein Phänomen da gehts nur ums Geld nichts weiter.
Jeder Browserhersteller nimmt nämlich eine ziemliche Summe um ein Stammcert zu akzeptieren. Die letzten MIcrosoftupdates zur erweitung dieser Certs waren also nicht im Userinteresse sondern einfach nur ein aufstocken des Warenkorbes wenn man so will.
Natürlich wird das damit begründet nur TrustetCert Herstellern zu vertrauen und um dem ganze glaubwürdigkeit zu verleihen gibts dazu dann eben Auflagen wie dieser VertAusteller zu prüfen hat (auch hier gibts dann mehrere Stufen)
Es ist aber FALSCH das soetwas ein Man in the Middle verhindert. Genau aus dem Grund wird bei VPN zb erst eine TLS aufgebaut und darüber dann die Certs.
Genaugenommen könnte man einen Spoofing versuch auch ohne TrustedAuth erkennen auch bei selbst ausgestellten Certs. Die AuthCerts helfen da nicht wirklich.
Aber um eben mehr sicherheit vorzukaugeln verbietet man einfach alle und lässt nur ien paar zu denen gibt man paar auflagen bzw macht das so teuer das nur firmen cert austeller werden für die es nicht rentabel wäre ihre position zu missbrauchen.
das verkauft man dann als feature.
in warheit gehts nur darum von jeder website die sll verwenden möchte 250-500 dollar im jahr zu kassieren
nichts weiter. die browserhersteller nehmen von dem kuchen ein bisschen was (kann natürlich nicht zuviel sein schließlich wollen ja alle bedient werden) aber einige hdttsd dollar sinds dann schon
damit ja kein opensource oder besser opencert gedanke aufkeimt. und wenn doch macht man es ihnen 3fach schwer schließlich utnerwandern diese bösen ja den edlen sicherheits gedanken
(edel weil die mit deisem gedanken zu edlen im uhrsprünglich wortsinn werden lol)
PS: es gäb eventuell eine lösung, es gäbe ein java install tool zum installieren der certs. ich teste es im momment… tja die zeit :-)
Hallo und vielen Dank für die Info.
dankeeeeeeee
hab auch das problem mit dem sicherheitszertifikat bei mozilla firefox.
was muß ich tun????
Tja, ich komm nedmal auf meinen Router (IPcop) und hab dazu dann extra opera installiert.
mit dem komm ich auf JEDE seite, ich muss ggf. höchstens auf “zustimmen” klicken.
Abgesehen davon, dass mein geliebter Firefox mit der Zeit sehr lahm wurde (bei 10 Tabs gleichzeitig war das früher bei den alten versionen mit nem langsameren PC kein Problem), werdich mir wohl wieder den FireFox 2.X installieren, da hatte wenigstens alles funktioniert. abgesehen von den zig Addons, auf die ich verzichten muss, weil die beim 3er ned funzen und diese auch nicht mehr umgeschrieben werden.
andererseits wäre es eine überlegung wert, ganz auf opera umzusteigen.
Als FF noch wirklich sauschnell war, war FF die erste Wahl und hab das auch jedem Kunden gleich mitinstalliert, der einen neuen PC bei uns gekauft hatte oder nur ne neuinstallation wollte.
schade eigentlich, dass man durch geldmacherei letztendlich die user vergrault.
“URL der betroffenen Seite eingeben” woher weiss ich das? bitte helfen Sie!!!!!
Die “URL der betroffenen Seite eingeben” heißt das Sie die Internetadresse die den Fehler verursacht eingeben müssen.