[Frage] Connection is Not Secure

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
geohei

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
481
Punkte für Reaktionen
3
Punkte
18
Hallo.

Ich habe via Fernwartung Zugriff auf die FB 7390 FW 06.83 eines Freundes.

Firefox (54.0.1) zweigt mir aber ständig "Connection is Not Secure" rot im "i" Icon an, und das obwohl ich in den Firefox Einstellungen ...
Options > Advanced > Certificates > View Certificates >
... bei seinem Certificate (Fingerprint wurde kontrolliert) ...
Edit Trust > This certificate can identify websites
... angewählt habe.

Wenn das Certificate der Webseite (des remote FB web interfaces) traut, dann sollte doch unter "i" "Secure Connection" in grün erscheinen, oder?

Was mache ich falsch?
Liegt es am FB Certificate?

VG
 
Zuletzt bearbeitet:
geohei schrieb:
Was mache ich falsch?
Zum Vergrößern anklicken....
Du evtl. nichts (wenn u.a. das Datum deines Rechner den du verwendest korrekt eingestellt ist). Aber wohl dein Freund, der verwendet offensichtlich entweder kein Zertifikat einer entspr. Zertifizierungsstelle, das Zertifikat wurde zurückgezogen, ist abgelaufen oder konnte aus anderen Gründen nicht (mehr) verifiziert werden.

Und da ändert es auch nichts wenn du selbst der Meinung bis dem verwendeten Zertifikat (weiterhin) trauen zu können und das deinem Browser (Firefox) entsprechend mitteilst, für deinen Browser bleibt es jedenfalls weiterhin ein unbeglaubigtes/ungültiges Zertifikat welches nicht von einer Zertifizierungsstelle herausgegeben wurde oder nicht (mehr) gültig ist.
 
Ok, also handelt es sich hier wahrscheinlich jetzt um ein Verständnisproblem meinerseits.

Die Zeit im Rechner ist korrekt eingestellt.

Das Zertifikat ist das selbst erzeugte Zertifikat der FB.
Es läuft 2038 ab.

Ich war in der Tat der Meinung, wenn ich dem Browser mitteile, dass ich diesem Zertifikat traue, es das akzeptiert und auch als vertrauenswürdig erachtet (wie es bei PGP mit den Schlüssel der Fall ist).

Stellt sich aber dann die Frage, warum Firefox überhaupt diese Option zur Verfügung stellt ... ?!?!
 

Anhänge

  • Photo-2017-08-03-12-38-19_8413.JPG
    Photo-2017-08-03-12-38-19_8413.JPG
    50.8 KB · Aufrufe: 17
  • Like
Reaktionen: geohei
Dann sollte der Browser aber auch Einzelheiten dazu anzeigen, warum er die Verbindung nicht als "sicher" ansieht ... ggf. einfach mal auf das rote Symbol mit der Warnung klicken.
 
Code: 
... uses an invalid security certificate.
The certificate is not trusted because it is self-signed.
Error code: SEC_ERROR_UNKNOWN_ISSUER
Können FB selbst signierte Zertifikate überhaupt als sicher erachtet werden?

qwertz.asdfgh sagt weiter oben nein.

Stellt sich auch die Frage warum Firefox diese trust Feature überhaupt zur Verfügung stellt.
 
Vermutlich hast Du versucht, das Zerttifikat an der falschen Stelle zu installieren. Das ist keine "vertrauenswürdige CA" (der oben gezeigte Screenshot gehört vermutlich an diese Stelle) ... aber als "gepinntes Zertifikat" (Zugriff zulassen und "permanent speichern") sollte auch ein selbstsigniertes funktionieren.

EDIT: Ich habe es gerade mal mit einem FF 54.0.1 (32-Bit) unter Windows probiert ... das Pinning klappt problemlos.
 
Zuletzt bearbeitet:
Es funktioniert in dem Sinn, dass ich nicht wieder mit dem Dialog konfrontiert werde es handele sich um ein unsicheres Zertifikat, aber links neben der URL sehe ich ein graues Schloss (Zertifikat existiert) mit einem gelben Ausrufezeichen in Dreieck (Zertifikat konnte nicht authentifiziert werden). Wenn ich mit dem Zeiger darüber gehe kommt "You have added a security exception for this site.". Ein Klick darauf sagt "This Connection is NOT Secure". Darum ging es. Kann man ein Zertifikat in Firefox nicht manuell als Authentifiziert taggen?

Bleibt die Frage, warum Firefox diese trust Feature bei ...
View Certificates > Authorities
... zur Verfügung stellt.
 
geohei schrieb:
Ich war in der Tat der Meinung, wenn ich dem Browser mitteile, dass ich diesem Zertifikat traue, es das akzeptiert
Zum Vergrößern anklicken....
Soweit so richtig. Tut er dann ja auch.

geohei schrieb:
und auch als vertrauenswürdig erachtet
Zum Vergrößern anklicken....
Das aber nicht, das macht Firefox nur wenn die Authentizität auch von einer CA bestätigt werden kann und das ist bei einem von der FritzBox generierten Zertifikat nicht der Fall.

geohei schrieb:
Stellt sich aber dann die Frage, warum Firefox überhaupt diese Option zur Verfügung stellt ... ?
Zum Vergrößern anklicken....
Das dürfte doch klar sein, damit du nicht jedes mal beim Aufrufen der entsprechenden Website die Fehlermeldung "Diese Verbindung ist nicht sicher" bekommst, dann über Erweitert den "Fingerabdruck" manuell vergleichen musst um dann anschließend manuell eine (temporäre) Ausnahme hinzuzufügen...

geohei schrieb:
Können FB selbst signierte Zertifikate überhaupt als sicher erachtet werden?
qwertz.asdfgh sagt weiter oben nein.
Zum Vergrößern anklicken....
Eigentlich nicht bzw. hast du mich da vielleicht nur falsch verstanden. Eines ist aber Fakt, von der F!B selbst erstellte Zertifikate können natürlich nicht von einer CA authentisiert werden (und deshalb erachtet der Firefox die Verbindung als nicht sicher da er nun mal für dieses Zertifikat nicht "die Hand ins Feuer legen kann", das muss dann halt der Anwender selbst übernehmen).
 
qwertz.asdfgh schrieb:
Das dürfte doch klar sein, damit du nicht jedes mal beim Aufrufen der entsprechenden Website die Fehlermeldung "Diese Verbindung ist nicht sicher" bekommst, dann über Erweitert den "Fingerabdruck" manuell vergleichen musst um dann anschließend manuell eine (temporäre) Ausnahme hinzuzufügen...
Zum Vergrößern anklicken....
Eben nicht. Diese Exception kann beim ersten Aufrufen speichern. Danach stresst Firefox nicht mehr mit dieser Anfrage.

Ich meinte diese Option.
Options > Advanced > Certificates > View Certificates > Edit Trust > This certificate can identify websites
(mein Screenshot aus #3)

qwertz.asdfgh schrieb:
Eigentlich nicht bzw. hast du mich da vielleicht nur falsch verstanden. Eines ist aber Fakt, von der F!B selbst erstellte Zertifikate können natürlich nicht von einer CA authentisiert werden (und deshalb erachtet der Firefox die Verbindung als nicht sicher da er nun mal für dieses Zertifikat nicht "die Hand ins Feuer legen kann", das muss dann halt der Anwender selbst übernehmen).
Zum Vergrößern anklicken....
Ok ... Fazit, ich kriege des Schloss nicht grün! Klar!
 
geohei schrieb:
Eben nicht.
Zum Vergrößern anklicken....
Eben doch.

geohei schrieb:
Diese Exception kann beim ersten Aufrufen speichern. Danach stresst Firefox nicht mehr mit dieser Anfrage.
Zum Vergrößern anklicken....
Also so wie ich es beschrieben habe, warum dann deinerseits ein "Eben nicht"? :confused:

geohei schrieb:
Ich meinte diese Option.
Options > Advanced > Certificates > View Certificates > Edit Trust > This certificate can identify websites
(mein Screenshot aus #3)
Zum Vergrößern anklicken....
Dazu s.h. Beitrag #8 von PeterPawn (erster Satz).
 
Ich bekomme beim Aufrufen der Webseite die Fehlermeldung "Your connection is not secure" nur das erste Mal. Dananch ist die URL in ...
Options > Advanced > Certificates > View Certificates > Authorities
... gespeichert. Beim zweiten Aufruf kommt diese Fehlermeldung nicht mehr.

Meine Frage ist, warum die drei Optionen ...
1. This certificate can identify websites.
2. This certificate can identify mail users.
3. This certificate can identify software makes.
... überhaupt existieren. Die erste Option klingt für mich so, als würde Firefox dem benutzen Zertifikat eine "manuelle Authentifizierung" einräumen.

Ob ich die Option 1. (oder alle 3) jetzt aktiviere oder nicht, ändert absolut nichts am Verhalten von Firefox beim Aufrufen der FB Seite des Freundes. Das graue Schloss plus gelbe Ausrufezeichen im Dreieck bleibt. Das Schloss wird nicht grün (Zertifikat authentifiert).

Warum diese drei Optionen?
Was bewirken sie?
Kann ich Firefox eine Authentifizierung vorgaukeln (qwertz.asdfgh sagt ja klar NEIN in #2)? dann anschließend manuell eine (temporäre) Ausnahme (bzgl. Authentifierung des Zertifikats!) hinzuzufügen?
 
Wenn du unbedingt ein "grünes Schloß" oder gar eine "grüne Adresszeile" im FireFox benötigst, dann kannst du dir ja das passende SSL-Zertifikat auch kaufen. Hier mal ein Beispiel.

Joe
 
Joe_57 schrieb:
Wenn du unbedingt ein "grünes Schloß" oder gar eine "grüne Adresszeile" im FireFox benötigst, dann kannst du dir ja das passende SSL-Zertifikat auch kaufen. Hier mal ein Beispiel.
Zum Vergrößern anklicken....
Danke für den Link, aber es ging mir ursprünglich nur um die FB des Freundes.
Dafür brauche ich natürlich kein SSL-Zertifikat ... :)

Bleibt die Frage nach der Funktion der 3 Funktionen in Posting #3.
Wozu dienen diese?
 
Bei mir kann ich damit den Gültigkeitsbereich für ein echtes CA-Zertifikat als Beginn einer Kette (das dann mit seinem CN oder irgendwelchen SAN auch keine Website beglaubigen soll oder irgendeine E-Mail-Adresse - das unterscheidet es von einem anderen "self-signed certificate", obwohl auch dieses CA-Zertifikat selbst generiert ist) festlegen und von dieser CA ausgestellte Zertifikate werden dann gemäß dieser Einstellungen behandelt.

Bei mir kriegen die FRITZ!Boxen (von Kunden) jeweils ein selbstausgestelltes Zertifikat für die DynDNS-Adressen, über die ich aus der Ferne zugreifen will (und der Kunde das natürlich auch selbst kann). Hier verhindert der vorherige einmalige Import des CA-Zertifikats, daß ich bei jeder Box aufs Neue gewarnt werde oder für jede Box einzeln so eine Ausnahme (die zu dem gelben Dreieck führt) eintragen muß. Es gibt dann keinen Fehler SEC_ERROR_UNKNOWN_ISSUER für die Zertifikate, die von den Boxen präsentiert werden.

Allerdings kann das (bei "normalen" Laufzeiten für solche (Site-)Zertifikate und da sind zwei Jahre schon recht lang) auch in Arbeit ausarten, wenn dann mal wieder mehrere Zertifikate auf einen Schlag ablaufen und jetzt sowohl die Zertifikate erneuert als auch auf die Boxen verteilt werden müssen. Im Gegensatz zu "öffentlichen" Zertifikaten (z.B. von Let's Encrypt) kann man aber bei solchen selbstausgestellten Zertifikaten auch andere Namen zusätzlich angeben (vom "FRITZ!Box-Namen" bis zum simplen "fritz.box"), was dann die (klaglose) Verwendung von TLS auch intern wieder einfacher macht - die Alternative ist das Modifizieren der Firmware und die Weiterleitung von HTTP-Verbindungen für "fritz.box" oder meinetwegen "Valhalla" (als Name der Box) auf eine HTTPS-Verbindung mit dem FQDN, der im (öffentlichen) Zertifikat hinterlegt ist.
 
  • Like
Reaktionen: geohei
Gut erklärt.
Danke!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 419 (Mitglieder: 38, Gäste: 381)

Neueste Beiträge

Statistik des Forums

Themen
246,039
Beiträge
2,244,908
Mitglieder
373,441
Neuestes Mitglied
psma
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück