coreknabe
Goto Top

StartSSL und Firefox

Moin,

ich habe für einen unserer Linux-Server ein StartSSL-Zertifikat erstellt. Seit einiger Zeit meckert Firefox jetzt (32.0.3), dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server verbunden waren. Internet Explorer und Chrome schlucken das Zertifikat ohne Probleme.
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033

Gruß

Content-ID: 250572

Url: https://administrator.de/forum/startssl-und-firefox-250572.html

Ausgedruckt am: 23.12.2024 um 11:12 Uhr

colinardo
colinardo 30.09.2014 aktualisiert um 14:50:23 Uhr
Goto Top
Moin,
Zitat von @Coreknabe:
Gibt es eine Möglichkeit, das Problem mit Firefox zu umgehen? Bin mir nicht sicher, ob es hiermit zusammenhängt:
https://bugzilla.mozilla.org/show_bug.cgi?id=994033
Was steht in der Fehlermeldung woran sich Firefox an dem Zertifikat stört ?

Grüße Uwe
Coreknabe
Coreknabe 30.09.2014 um 14:56:44 Uhr
Goto Top
Hi Uwe,

danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten Zertifikat.

Gruß
colinardo
colinardo 30.09.2014 aktualisiert um 14:59:59 Uhr
Goto Top
Zitat von @Coreknabe:
danke für die schnelle Antwort. Fehlermeldung: Unbekannte Identität, also dasselbe wie bei einem selbstsignierten
Zertifikat.

Wird denn der CA im Zertifikat vertraut?
Kann man das Zertifikat irgendwo abrufen das ich das hier mal testen kann ?
Lochkartenstanzer
Lochkartenstanzer 30.09.2014 um 16:41:09 Uhr
Goto Top
Zitat von @Coreknabe:

Seit einiger Zeit meckert Firefox jetzt (32.0.3),
dass dem Zertifikat nicht vertraut wird. Komischerweise nur auf "neuen" Rechnern, die bisher nicht mit dem Server
verbunden waren.

Wenn ich raten müßte, würde ich mal drauf tippen, daß die passende CA bei den "neuen rechnern" aus Firefox rausgeflogen ist.

Schonmal geschaut, ob die CA in der Liste von Firefox noch drin ist?

lks
AndiEoh
AndiEoh 01.10.2014 um 09:51:11 Uhr
Goto Top
Hallo,

vor einiger Zeit ist das Zwischen-Zertifikat ausgelaufen bzw. wurde durch ein SHA256 signiertes ersetzt. Hast du das aktuelle/passende "intermediate" CA Zertifikat auf dem Linux Server (Apache?) hinterlegt?

Gruß

Andi
Coreknabe
Coreknabe 01.10.2014 um 09:57:22 Uhr
Goto Top
Moin Ihr zwei,

habe jetzt noch mal mit einem Rechner zuhause getestet, dieser war vorher noch nie mit einer der beiden Seiten verbunden (Firefox "neu"). Firefox "alt" ist mein Arbeitsplatzrechner, der kein Problem mit den Zertifikaten hat.

Linuxserver 1, Aufruf mit Firefox "neu"
6327613009cb066b67543f40bdd18f04

Linuxserver 2, Aufruf mit Firefox "neu"
d55915e6d102961aad67aee4cfe45a4c

Linuxserver 1, Aufruf mit Firefox "alt"
18d63ea706ddd2f167e49233e45e8b57

Linuxserver 2, Aufruf mit Firefox "alt"
50ec37c192a3f33ef1df6c6cb5de38d3

Ich habe leider nichts gefunden, wo auf meinem Arbeitsplatzrechner die Zertifikate hinterlegt wurden, StartSSL ist in beiden Systemen nach wie vor als CA hinterlegt. Teste ich auf dem Rechner zuhause mit Chrome oder Internet Explorer, werden die Zertifikate sofort als gültig und vertrauenswürdig eingestuft.

Gruß
Coreknabe
Coreknabe 01.10.2014 um 10:04:10 Uhr
Goto Top
Hi Andi,

danke auch Dir. Ne, äh, was muss ich da tun?

Ich komme auch putzigerweise von meinem Arbeitsplatzrechner (zuhause geht's) nicht mehr mit dem Firefox in das StartSSL Controlpanel. www.startssl.com kann ich noch aufrufen, will ich zum Controlpanel wechseln, bekomme ich eine Meldung, dass der Verbindung nicht vertraut wird und ich kann auch keine Ausnahme hinzufügen:

1e9ccc30a5c4fa2e7e2f360c403e73ac
colinardo
colinardo 01.10.2014 aktualisiert um 10:47:47 Uhr
Goto Top
Lade dir das Zertifikat herunter, speichere es. Dann doppelklick auf das Zertifikat und speichere im Zertifikatsbaum auf dem letzten TAB wiederum alle CA-Zertifikate einzeln ab und importiere sie in den Zertifikatsstore von Firefox.

Wenn das nicht hilft, könnte es an der SSL-Renegotiation liegen damit hatte ich im Firefox schon mal Probleme. Dazu öffnest du die Seite about:config und setzt die Einstellung security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True. Alternativ lässt sich die SSL-Renegotiation auch nur für bestimmte Hosts aktivieren, diese lassen sich in der Eigenschaft security.ssl.renego_unrestricted_hosts eintragen.

Grüße Uwe
AndiEoh
AndiEoh 01.10.2014 um 12:11:15 Uhr
Goto Top
Also das riecht ein wenig streng...
Kannst du mal das www.startssl.com Zertifikat zeigen welches bei dir am Arbeitsplatz erscheint?

Gruß

Andi
Coreknabe
Coreknabe 01.10.2014 aktualisiert um 12:53:30 Uhr
Goto Top
@colinardo: Das ist ein öffentlich zugänglicher Server für unsere Studenten. Wenn ich denen (in 90% der Fälle wenig technik-affin) diesen Lösungsweg vorschlage (habe nicht probiert, ob es hilft), haben wir hier einen enormen Supportaufwand. Ich hätte gehofft, dass es eine einfachere Lösung gibt, so würde ich eher Chrome oder notfalls auch den Internet Explorer vorschlagen, der Firefox soll dann gar nicht genutzt werden.

@andi: Wenn Du das Zertifikat meinst, dass bei Aufruf des Controlpanels erscheint: Nö, leider nicht. Wie Du auf dem Screenshot siehst, ist das Feld "Ansehen..." ausgegraut, herunterladen kann ich das Zertifikat auch nicht, dann erscheint der Text "Der Identifikations-Status der angegebenen Website konnte nicht bezogen werden."

Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
colinardo
colinardo 01.10.2014 aktualisiert um 13:01:31 Uhr
Goto Top
Zitat von @Coreknabe:
Hat hier im Forum vielleicht jemand Zertifikate von StartSSL im Einsatz und dasselbe Problem? Anders gefragt, kann jemand bestätigen, dass hier ein grundsätzliches Problem StartSSL - Firefox vorliegt?
Kann ich bestätigen, hatte mich seit längerem dort nicht mehr eingeloggt, und gerade versucht mich einzuloggen. Ich bekam jedoch nicht die Meldung das das Zertifikat ungültig ist, sondern die Verbindung wurde einfach zurückgesetzt und abgebrochen. Hier half der obige Fix. Ich denke es liegt daran das Mozilla gerade die Struktur für die Überprüfung von Zertifikaten ändert. Aber die Probleme haben seit Version 32.x.x zugenommen, wird langsam nervig face-sad

Hier kommt gerade der nächste der die gleichen Probleme hat:
Firefox (neuste Version) Problem? Der identifikations status der angegebenen website konnte nicht bezogen werden
Coreknabe
Coreknabe 01.10.2014 um 13:18:10 Uhr
Goto Top
OK, habe mir jetzt rein interessehalber mal einen Testrechner geschnappert und security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref auf True gesetzt. Ändert bei uns nix am Problem, auch der Eintrag von Hosts nicht.

Schade, werden wir wohl dazu übergehen, den Firefox aus den Lehrsälen zu verbannen und künftig Chrome als "Alternativbrowser" empfehlen. Wobei Alternativbrowser ja stark untertrieben ist, ich habe schon seit Ewigkeiten keinen Internet Explorer mehr benutzt und kenne auch nur wenige Leute, die darauf Wert legen. War schön, mit dir, Firefox... Muss man leider zugeben, dass die Anlehnung von Chrome an den Internet Explorer (Zertifikatsspeicher und Co.) schlauer war...

Vielen herzlichen Dank für Eure Hilfe!
AndiEoh
AndiEoh 01.10.2014 um 13:33:48 Uhr
Goto Top
Firefox 32.0.3 funktioniert hier ohen Work-Around einwandfrei mit StartSSL...

Gruß

Andi
colinardo
colinardo 01.10.2014 aktualisiert um 14:49:08 Uhr
Goto Top
Eventuell liegt es auch an den persönlichen Zertifikaten die vor dem Heartbleed-Fix mit einer verwundbaren OpenSSL-Version erstellt wurden, so dass Firefox nur die Verwendung dieser blockt. Werde das mal austesten...

-edit- das Löschen des Identitätszertifikates und erneute Importieren in die Zertifikate hat den Fehler bei mir im Firefox behoben.
Coreknabe
Coreknabe 01.10.2014 um 16:57:52 Uhr
Goto Top
Hm... vielleicht und wahrscheinlich liegt mein Problem, dass ich mit dem "Arbeitsplatz-Firefox" StartSSL nicht aufrufen kann, in der lokalen Konfig. Ist mir jetzt zu dumm, habe das Authentifizierungszertifikat für Chrome installiert, damit geht es.

@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
colinardo
colinardo 01.10.2014 aktualisiert um 17:06:04 Uhr
Goto Top
Zitat von @Coreknabe:
@colinardo: Was meinst Du mit "Löschen des Identitätszertifkates"?
Das Zertifikat das man zum Anmelden im StartSSL Controlcenter verwendet (Authentifizierungszertifikat)
Coreknabe
Coreknabe 02.10.2014 um 09:48:25 Uhr
Goto Top
OK, Verbindung mit StartSSL Controlpanel funktioniert jetzt auch wieder. Danke, Uwe!