1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Firefox - Gesicherte Verbindung fehlgeschlagen - ungültiges Zertifikat

Dieses Thema im Forum "Feedback zur Webseite" wurde erstellt von Manfred, 07.01.18.

  1. Manfred

    Manfred Team

    Beiträge:
    3.533
    Ort:
    DE-76530
    Details E-Antrieb:
    Haibike Xduro FS RX 2012 (Bosch Classic)
    Heute morgen konnte ich die Seiten vom Pedelecforum mit Firefox nicht aufrufen. Meldung:

    ungültiges Zertifikat.jpg

    Dieses Problem wird i.d.R. behoben, indem man die Zertifikats-Datenbank "cert8.db" von Firefox löscht. Er legt die dann neu mit den aktuellen Zertifikaten an.
    https://support.mozilla.org/de/kb/v...fehlermeldung#w_fehler-im-zertifikatsspeicher
    Die cert8.db befindet sich hier:
    C: (Windows-Laufwerk) - Benutzer - mein Benutzername - AppData - Roaming - Mozilla - Firefox - Profiles - Ordner mit einer Zahlen-/Buchstabenkombination

    Hat dieses Mal auch wieder geklappt.
     
  2. 1N4001

    1N4001

    Beiträge:
    390
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Sowas kann und darf bei normaler Operation eigentlich gar nicht auftreten. Irgendetwas hat da auf dem Rechner des Anwenders im Cert Speicher herumgepfuscht.

    Jeder, dem so etwas passiert, sollte gründlich den Rechner nach Schadtierchen durchforsten. Auch Virenscanner und ähnliche Produkte der Schlangenölbranche manipulieren gerne die vertrauten Root-Certs des Systems und Browsers. Programme die dies tun (auch wenn eigentlich "gutwillig" gemeint) verletzen grundlegende Konzepte von SSL/TLS und sollten schleunigst entsorgt werden. Ein Man-in-the-Middle Angriff im eigenen Rechner (aus welchem Grund auch immer) ist aus Security-Sicht inakzeptabel.
     
  3. Manfred

    Manfred Team

    Beiträge:
    3.533
    Ort:
    DE-76530
    Details E-Antrieb:
    Haibike Xduro FS RX 2012 (Bosch Classic)
    Warum sollte durch einen Schädling oder Programm ausgerechnet dieses einzelne Zertifikat vom pedelecforum verändert worden sein ? (alle anderen getesteten Seiten funktionierten)
     
  4. 1N4001

    1N4001

    Beiträge:
    390
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Nein, nicht das einzelne Seitenzertifikat, ein Root-Zertifikat. Der Schädling fügt sein Root-Cert dem Cert Speicher hinzu, sodass er fortan daraus beliebige Seitenzertifikate generieren kann, die dann vom Browser immer akzeptiert werden. Diese Seitenzertifikate werden nicht im Browser gespeichert, sondern vom Man-in-the-Middle beim Seitenaufruf statt dem Orginalen mitgeschickt.

    Relevant: http://www.zdnet.com/article/google...to-av-and-security-firms-stop-trashing-https/
     
    Zuletzt bearbeitet: 07.01.18
  5. Manfred

    Manfred Team

    Beiträge:
    3.533
    Ort:
    DE-76530
    Details E-Antrieb:
    Haibike Xduro FS RX 2012 (Bosch Classic)
    Thema hier ist ja der Fehler in Post 1, d.h. das einzelne ungültige Zertifikat. Das kommt bei mir vielleicht 2 x im Jahr vor.
    Wahrscheinlich war nur das Zertifikat veraltet (da muss nicht gleich ein Schädling aktiv sein) und das lässt sich eben mit der vorgestellten Lösung beheben.

    Wäre ein komischer Schädling, der nur den Seitenaufruf von Pedelecforum.de verhindert.
     
  6. Üps

    Üps

    Beiträge:
    15.603
    Alben:
    4
    Ort:
    Stuttgart Riedenberg
    Details E-Antrieb:
    TSD100F/Q100, BBS01
    Mir ist nichts aufgefallen. Habe allerdings auf Firefox ESR 52.x downgegraded.
     
  7. Manfred

    Manfred Team

    Beiträge:
    3.533
    Ort:
    DE-76530
    Details E-Antrieb:
    Haibike Xduro FS RX 2012 (Bosch Classic)
    Möchtest auch nicht auf die gewohnten Add-On verzichten (ich auch nicht) ;)

    Ein Zertifikat-Problem kann sich auch nach kurzer Zeit selbst erledigen, hatte ich auch schon (google-suche). Nach einer Stunde ging der Seitenaufruf wieder.
    (Google verwende ich allerdings nur, wenn ich mit DuckDuckGo nicht weiterkomme).
     
  8. 1N4001

    1N4001

    Beiträge:
    390
    Details E-Antrieb:
    BionX SL-250 HT 48V
    Das Forumszertifikat war und ist aber nicht veraltet. Zumal die von dir vorgestelle Lösung ein wirklich abgelaufenes Zertifikat auch nicht behebt, das muss der Serveradmin machen.

    Wie gesagt kann, aber muss es kein Schädling sein. Antivirensoftware, die "hilfreich" SSL/TLS aufbricht um da herumzuscannen hat den selben Effekt. Unter anderem Avast und Kaspersky sind dafür bekannt.

    Und wenn solch eine Software den Man-in-the-Middle spielt, dann hängt es von dieser Software ab, welche Zertifikate nun für welche Seiten generiert und untergejubelt werden.

    Leider ist AV-Software meist unglaublich mies und voller Bugs oder eigener Sicherheitslücken. Da kann es schon einmal passieren, dass komsiche Effekte auftreten.


    Wie dem auch sei, ich will dir hier nicht ans Bein pissen, aber die Erklärungen, die du dir bereit legst, passen nicht auf die Fakten. Das Zertifikat für unser Forum ist seit einem halben Jahr gültig, und wird es ein weiteres halbes bleiben. Wenn es nicht gültig ist, dann passt etwas nicht. Wenn nicht gerade jemand am Server herumspielt und deine Systemzeit stimmt, dann ist nun Misstrauen angebracht.

    Wenn das passiert, am besten gleich das Zertifikat, wie es vom Server kommt, überprüfen: https://www.globalsign.com/en/blog/how-to-view-ssl-certificate-details/

    Für unser Forum: Das Zertifikat wurde von Symantec ausgestellt und hat die Seriennummer 65:CB:9E:53:48:68:A6:22:5B:E6:8D:BD:E2:02:4B:7D. Es ist gültig von 2017-07-03 bis 2018-07-04. Dies darf sich erst ändern, wenn das Zertifikat erneuert wird (ich vermute das wird im Sommer irgendwann stattfinden)

    Bekommt man davon abweichende Daten: Alarmglocken! Jemand fängt deine Daten beim Surfen ab!
     
    Zuletzt bearbeitet: 07.01.18
  9. Reinhard

    Reinhard Team

    Beiträge:
    8.232
    Alben:
    1
    Ort:
    48599 Gronau-Epe
    Es ist so wie @1N4001 es schreibt, das Zertifikat ist gültig und am Webserver pfuscht niemand rum.
     
  10. Broadcasttechniker

    Broadcasttechniker

    Beiträge:
    2.111
    Ort:
    51109 Köln
    Details E-Antrieb:
    NC154 15A Controller 36V "weiche" Lipos mit 15Ah
    Die Fehlermeldung passt nicht zur Systemuhr, aber genau von daher kenne ich diese Art der Meldung.
    Bios Batterie leer oder Bios resettet macht eine vergleichbare Meldung. Nach Uhrensynchronisation mit der Netzzeit ist der Fehler weg.
     
    Zuletzt bearbeitet: 08.01.18
  11. mague

    mague

    Beiträge:
    2.817
    Ort:
    Albtrauf
    Details E-Antrieb:
    Bosch Aktiv Cruise, Bionx PL 250 S
    Der Fehler sagt nicht das Zertifikat ist ungültig sondern das zwei Zertifikate mit der selben Seriennummer existieren.

    Im Nachhinein kann man nicht mehr sagen was es ist. Dazu haette man die Zertifikate aus dem Firefox exportieren und analysieren müssen.
    Es kann eine gespeicherte Exception gewesen sein. Es kann aber auch daher kommen, daß der Webserver des Forum SNI nutzt. Das wildcard des Servers ist von RapidSSL. Da werden gerade jede Menge Zertifikate aktualisiert weil Google sich gegen Symantec gestellt hat und Digicert das jetzt aufgekauft hat und alle alten Zertifikate neu ausgestellt werden müssen.
     
  12. Manfred

    Manfred Team

    Beiträge:
    3.533
    Ort:
    DE-76530
    Details E-Antrieb:
    Haibike Xduro FS RX 2012 (Bosch Classic)
    Das war es wohl. Ist ja bekannt, dass AV-Software https eher unsicherer macht.
    Nach dieser interessanten Info:
    habe ich noch mal die alte cert8.db aktiviert. Damit hat Firefox die Forenseite nun auch ohne Fehlermeldung geöffnet. Das Zertifikat war also gar nicht fehlerhaft und ist mit dem aus der neuen cert8.db identisch.
    K hängt sich da offensichtlich dazwischen, es wird nicht das Forums- Zertifikat genutzt sondern eines von K, siehe Anhang.
    Was auch immer K da getrieben hat, mit der Lösung aus #1 war das sofort zu beheben.
    Ist K deaktiviert, sehe ich auch das normale Forums-Zertifikat 65:CB:9E:53:48:68:A6:22:5B:E6:8D:BD:E2:02:4B:7D.

    Ist natürlich kein Schaden, sein System bei merkwürdigem Verhalten zu überprüfen.
     

    Anhänge:

    Broadcasttechniker und 1N4001 gefällt das.
  13. Üps

    Üps

    Beiträge:
    15.603
    Alben:
    4
    Ort:
    Stuttgart Riedenberg
    Details E-Antrieb:
    TSD100F/Q100, BBS01
    Um das ein wenig zu ergänzen: Nicht das böse Google hat sich so einfach grundlos gegen Symantec gestellt, sondern Symandreck hat derart gepfuscht, dass es beim besten Willen nicht mehr vertrauenswürdig war. Und das uneingeschränkte Vertrauen in den Aussteller ist bei Zertifikaten die Grund-Voraussetzung, dass man ihnen vertrauen kann. Es geht um mehr als 30.000 falsche Zertifikate, heißt es. Unter anderem hat Symantec schon 2015 ein falsches Google-Zertifikat ausgestellt und die Sicherheit für Verbindungen zu Google-Diensten damit ausgehebelt. Seitdem gab es mehrere Mahnungen und Besserungs-Bekundungen.
     
    Zuletzt bearbeitet: 08.01.18
    Empathiker und 1N4001 gefällt das.