Firefox - Gesicherte Verbindung fehlgeschlagen - ungültiges Zertifikat

Dieses Thema im Forum "Feedback zur Webseite" wurde erstellt von Manfred, 07.01.18.

  1. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Heute morgen konnte ich die Seiten vom Pedelecforum mit Firefox nicht aufrufen. Meldung:

    ungültiges Zertifikat.jpg

    Dieses Problem wird i.d.R. behoben, indem man die Zertifikats-Datenbank "cert8.db" von Firefox löscht. Er legt die dann neu mit den aktuellen Zertifikaten an.
    https://support.mozilla.org/de/kb/v...fehlermeldung#w_fehler-im-zertifikatsspeicher
    Die cert8.db befindet sich hier:
    C: (Windows-Laufwerk) - Benutzer - mein Benutzername - AppData - Roaming - Mozilla - Firefox - Profiles - Ordner mit einer Zahlen-/Buchstabenkombination

    Hat dieses Mal auch wieder geklappt.
     
  2. 1N4001

    1N4001

    Beiträge:
    742
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Sowas kann und darf bei normaler Operation eigentlich gar nicht auftreten. Irgendetwas hat da auf dem Rechner des Anwenders im Cert Speicher herumgepfuscht.

    Jeder, dem so etwas passiert, sollte gründlich den Rechner nach Schadtierchen durchforsten. Auch Virenscanner und ähnliche Produkte der Schlangenölbranche manipulieren gerne die vertrauten Root-Certs des Systems und Browsers. Programme die dies tun (auch wenn eigentlich "gutwillig" gemeint) verletzen grundlegende Konzepte von SSL/TLS und sollten schleunigst entsorgt werden. Ein Man-in-the-Middle Angriff im eigenen Rechner (aus welchem Grund auch immer) ist aus Security-Sicht inakzeptabel.
     
  3. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Warum sollte durch einen Schädling oder Programm ausgerechnet dieses einzelne Zertifikat vom pedelecforum verändert worden sein ? (alle anderen getesteten Seiten funktionierten)
     
  4. 1N4001

    1N4001

    Beiträge:
    742
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Nein, nicht das einzelne Seitenzertifikat, ein Root-Zertifikat. Der Schädling fügt sein Root-Cert dem Cert Speicher hinzu, sodass er fortan daraus beliebige Seitenzertifikate generieren kann, die dann vom Browser immer akzeptiert werden. Diese Seitenzertifikate werden nicht im Browser gespeichert, sondern vom Man-in-the-Middle beim Seitenaufruf statt dem Orginalen mitgeschickt.

    Relevant: http://www.zdnet.com/article/google...to-av-and-security-firms-stop-trashing-https/
     
    Zuletzt bearbeitet: 07.01.18
    Broadcasttechniker gefällt das.
  5. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Thema hier ist ja der Fehler in Post 1, d.h. das einzelne ungültige Zertifikat. Das kommt bei mir vielleicht 2 x im Jahr vor.
    Wahrscheinlich war nur das Zertifikat veraltet (da muss nicht gleich ein Schädling aktiv sein) und das lässt sich eben mit der vorgestellten Lösung beheben.

    Wäre ein komischer Schädling, der nur den Seitenaufruf von Pedelecforum.de verhindert.
     
  6. Üps

    Üps

    Beiträge:
    16.576
    Alben:
    4
    Ort:
    Stuttgart Riedenberg
    Details E-Antrieb:
    TSD100F/Q100, BBS01
    Mir ist nichts aufgefallen. Habe allerdings auf Firefox ESR 52.x downgegraded.
     
  7. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Möchtest auch nicht auf die gewohnten Add-On verzichten (ich auch nicht) ;)

    Ein Zertifikat-Problem kann sich auch nach kurzer Zeit selbst erledigen, hatte ich auch schon (google-suche). Nach einer Stunde ging der Seitenaufruf wieder.
    (Google verwende ich allerdings nur, wenn ich mit DuckDuckGo nicht weiterkomme).
     
  8. 1N4001

    1N4001

    Beiträge:
    742
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Das Forumszertifikat war und ist aber nicht veraltet. Zumal die von dir vorgestelle Lösung ein wirklich abgelaufenes Zertifikat auch nicht behebt, das muss der Serveradmin machen.

    Wie gesagt kann, aber muss es kein Schädling sein. Antivirensoftware, die "hilfreich" SSL/TLS aufbricht um da herumzuscannen hat den selben Effekt. Unter anderem Avast und Kaspersky sind dafür bekannt.

    Und wenn solch eine Software den Man-in-the-Middle spielt, dann hängt es von dieser Software ab, welche Zertifikate nun für welche Seiten generiert und untergejubelt werden.

    Leider ist AV-Software meist unglaublich mies und voller Bugs oder eigener Sicherheitslücken. Da kann es schon einmal passieren, dass komsiche Effekte auftreten.


    Wie dem auch sei, ich will dir hier nicht ans Bein pissen, aber die Erklärungen, die du dir bereit legst, passen nicht auf die Fakten. Das Zertifikat für unser Forum ist seit einem halben Jahr gültig, und wird es ein weiteres halbes bleiben. Wenn es nicht gültig ist, dann passt etwas nicht. Wenn nicht gerade jemand am Server herumspielt und deine Systemzeit stimmt, dann ist nun Misstrauen angebracht.

    Wenn das passiert, am besten gleich das Zertifikat, wie es vom Server kommt, überprüfen: https://www.globalsign.com/en/blog/how-to-view-ssl-certificate-details/

    Für unser Forum: Das Zertifikat wurde von Symantec ausgestellt und hat die Seriennummer 65:CB:9E:53:48:68:A6:22:5B:E6:8D:BD:E2:02:4B:7D. Es ist gültig von 2017-07-03 bis 2018-07-04. Dies darf sich erst ändern, wenn das Zertifikat erneuert wird (ich vermute das wird im Sommer irgendwann stattfinden)

    Bekommt man davon abweichende Daten: Alarmglocken! Jemand fängt deine Daten beim Surfen ab!
     
    Zuletzt bearbeitet: 07.01.18
    q_no gefällt das.
  9. Reinhard

    Reinhard Team

    Beiträge:
    8.417
    Alben:
    1
    Ort:
    48599 Gronau-Epe
    Es ist so wie @1N4001 es schreibt, das Zertifikat ist gültig und am Webserver pfuscht niemand rum.
     
  10. Broadcasttechniker

    Broadcasttechniker

    Beiträge:
    2.270
    Details E-Antrieb:
    Geteiltes Wissen ist doppeltes Wissen
    Die Fehlermeldung passt nicht zur Systemuhr, aber genau von daher kenne ich diese Art der Meldung.
    Bios Batterie leer oder Bios resettet macht eine vergleichbare Meldung. Nach Uhrensynchronisation mit der Netzzeit ist der Fehler weg.
     
    Zuletzt bearbeitet: 08.01.18
  11. mague

    mague

    Beiträge:
    2.834
    Ort:
    Albtrauf
    Details E-Antrieb:
    Bosch Aktiv Cruise, Bionx PL 250 S
    Der Fehler sagt nicht das Zertifikat ist ungültig sondern das zwei Zertifikate mit der selben Seriennummer existieren.

    Im Nachhinein kann man nicht mehr sagen was es ist. Dazu haette man die Zertifikate aus dem Firefox exportieren und analysieren müssen.
    Es kann eine gespeicherte Exception gewesen sein. Es kann aber auch daher kommen, daß der Webserver des Forum SNI nutzt. Das wildcard des Servers ist von RapidSSL. Da werden gerade jede Menge Zertifikate aktualisiert weil Google sich gegen Symantec gestellt hat und Digicert das jetzt aufgekauft hat und alle alten Zertifikate neu ausgestellt werden müssen.
     
  12. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Das war es wohl. Ist ja bekannt, dass AV-Software https eher unsicherer macht.
    Nach dieser interessanten Info:
    habe ich noch mal die alte cert8.db aktiviert. Damit hat Firefox die Forenseite nun auch ohne Fehlermeldung geöffnet. Das Zertifikat war also gar nicht fehlerhaft und ist mit dem aus der neuen cert8.db identisch.
    Kaspersky (K) hängt sich da offensichtlich dazwischen, es wird nicht das Forums- Zertifikat genutzt sondern eines von K, siehe Anhang.
    Was auch immer K da getrieben hat, mit der Lösung aus #1 war das sofort zu beheben.
    Ist K deaktiviert, sehe ich auch das normale Forums-Zertifikat 65:CB:9E:53:48:68:A6:22:5B:E6:8D:BD:E2:02:4B:7D.

    Ist natürlich kein Schaden, sein System bei merkwürdigem Verhalten zu überprüfen.
     

    Anhänge:

    Broadcasttechniker und 1N4001 gefällt das.
  13. Üps

    Üps

    Beiträge:
    16.576
    Alben:
    4
    Ort:
    Stuttgart Riedenberg
    Details E-Antrieb:
    TSD100F/Q100, BBS01
    Um das ein wenig zu ergänzen: Nicht das böse Google hat sich so einfach grundlos gegen Symantec gestellt, sondern Symandreck hat derart gepfuscht, dass es beim besten Willen nicht mehr vertrauenswürdig war. Und das uneingeschränkte Vertrauen in den Aussteller ist bei Zertifikaten die Grund-Voraussetzung, dass man ihnen vertrauen kann. Es geht um mehr als 30.000 falsche Zertifikate, heißt es. Unter anderem hat Symantec schon 2015 ein falsches Google-Zertifikat ausgestellt und die Sicherheit für Verbindungen zu Google-Diensten damit ausgehebelt. Seitdem gab es mehrere Mahnungen und Besserungs-Bekundungen.
     
    Zuletzt bearbeitet: 08.01.18
    Empathiker und 1N4001 gefällt das.
  14. Empathiker

    Empathiker

    Beiträge:
    2.896
    Ort:
    23683 Lübecker Bucht
    Details E-Antrieb:
    Cute 100, Front-Keyde, Bafang,
    Warnmeldung: Achtung unsichere Website
    Seit heute ab ca. 09 Uhr andauernd erhalte ich diese Warnmeldung - die nervt bei jedem neuen Click. Anscheinend funktioniert der https-Server derzeit nicht, auch wird der Kopf der Websites nicht abgebildet, der Bildschirm beginnt tiefer ab Höhe "Hinweise".

    Es scheint etwas mit dem Sicherheitszertifikat zu tun zu haben.

    Leider lässt sich zu allem Überfluss auch der Screenshot (.png) nicht hochladen
     
    Zuletzt von einem Moderator bearbeitet: 08.06.18
  15. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Themen zusammen geführt.
    Bei mir funktioniert die Seite, am Server liegt das also eher nicht.
    Lies mal die vorhergehenden Posts.
     
  16. Empathiker

    Empathiker

    Beiträge:
    2.896
    Ort:
    23683 Lübecker Bucht
    Details E-Antrieb:
    Cute 100, Front-Keyde, Bafang,
    Hab jetzt mal die infrage kommenden DigiCert-Zertifikate deaktiviert.
    Jetzt funktioniert das Forum wieder.

    Ist damit wieder alles in Ordnung, oder muss ich noch etwas beachten?
     
  17. Manfred

    Manfred Team

    Beiträge:
    4.043
    Ort:
    DE-76530
    Details E-Antrieb:
    Hai MJ12 Bosch Classic; Levo MJ18 Brose 1.3 GTI
    Es läuft doch wieder. Hattest Du Firefox?
     
  18. Empathiker

    Empathiker

    Beiträge:
    2.896
    Ort:
    23683 Lübecker Bucht
    Details E-Antrieb:
    Cute 100, Front-Keyde, Bafang,
    Chrome
     
  19. Empathiker

    Empathiker

    Beiträge:
    2.896
    Ort:
    23683 Lübecker Bucht
    Details E-Antrieb:
    Cute 100, Front-Keyde, Bafang,
    Moin Manfred

    Klappt heute wieder nicht. Habe Chrome aktualisiert, cookies, Dateien und Bilder aus dem Cache gelöscht. Offensichtlich habe ich zwei Sicherheitszertifikate fürs Forum, eines von digicert gültig vom 7.6.2018-7.6.2019 und ein anderes von encription everywere das gültig ist von 2017-2027!!.

    Ich weiß nicht, wie ich die betreffenden Zertifikate finden und ggf. löschen kann?

    Ist es möglich, mir das richtige gültige Zertifikat zu senden? Vllt. kann ich das dann vom Tablet Speicher laden
     
    Zuletzt bearbeitet: 09.06.18
  20. Chrisol

    Chrisol

    Beiträge:
    3.109
    Ort:
    Hochtaunus
    Details E-Antrieb:
    3 HR-Puma CST, Panasonic Impulse 26V
    Das Zertifikat holt sich der Browser beim Verbindungsaufbau.
    Hab mir das mal angesehen.
    Der Apache (Webserver) ist ordentlich konfiguriert, das Zertifikat sauber.(y)
    Screenshot_20180609-124925.png Screenshot_20180609-125021.png
    Das Unternehmen, welches den Server betreibt, stellt allerdings zusätzlich ein Wildcard-Zertifikat zur Verfügung. Das paßt nicht zum Servernamen.

    Das Zertifikat gültig bis 2027 läßt auf einen verseuchten Client (dein Rechner) schließen.
    Entweder Schlangenöl-Antivirus (deinstallieren) oder du möchtest deinen Rechner plattmachen und neu bauen mit einem ordentlichen Betriebssystem (Linux).
     
    Broadcasttechniker und Manfred gefällt das.


  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden