[gelöst]Firefox und https

[paulderfinne]

Hallo liebe Debiangemeinde,

ich habe ein Problem mit dem Firefox.

Ich weiß jetzt nicht ob das hier das gleiche Problem ist wie hier: viewtopic.php?f=29&t=165118

Bei mir kann ich diese Site nicht mit dem firefox aufrufen: https://demo.webdesign-wedel.de
da kommt einfach nur eine leere Site. Benutze ich aber beispielsweise den lightweightbrowser surf, funktioniert das.

Und zwar sowohl bei stable als auch bei testing. Habe jetzt die Version bei Stable nicht im Kopf, aber dort funktioniert es ebenfalls nicht, hier bei testing habe ich 45.9.0

[2undvierzig]

irgendwelche Erweiterungen in Firefox aktiv?

[seep]

ich habe ein Problem mit dem Firefox.

Ich nicht, Seite lädt normal.

[AlexDausF]

Hallo!

Bei mir ist das auch so. Ich habe zwar NoSkript aktiv aber auch wenn ich alles erlaube ist die Seite leer. In Konqueror gehts.
Komisch!
Alex

[paulderfinne]

irgendwelche Erweiterungen in Firefox aktiv?

Habe sämtliche addons und extensions auf inaktiv gesetzt, gleiches Resultat.

Ich nicht, Seite lädt normal.

Komisch. Was ist denn da los? ES muss ja am Firefox liegen, da surf das kann.

[seep]

Starte mal aus dem Terminal heraus, dann siehtst Du vielleicht die Fehlerausgaben. Vielleicht auch mal mit --safe-mode starten, vielleicht macht ja ein Plugin Unfug.

Edit: Ich bin hier mit einem Firefox 53.0.2 / Ubuntu unterwegs, mit NoScript / Ghostery / uBlock Origin, keine Probleme.

[paulderfinne]

Starte mal aus dem Terminal heraus, dann siehtst Du vielleicht die Fehlerausgaben. Vielleicht auch mal mit --safe-mode starten, vielleicht macht ja ein Plugin Unfug..

Aus dem Terminal gestartet -> Keine Fehlermeldung, aber auch keine Site
Mit --safe-mode das Gleiche.

Liegt es an der Version? Ist dort ein Bug? Du hast ja eine viel höhere Version.

[uname]

Auch wenn es nichts hilft:
- gibt Firefox den Quellcode aus?
- was sagen die Entwicklertools wie Laufzeitanalyse, ...

[paulderfinne]

Auch wenn es nichts hilft:
- gibt Firefox den Quellcode aus?

Nein. es passiert nix, absolut nix.

Den Quellcode hqabe ich jetzt nicht parat. Auch keine Entwicklungsumgebung.

[tobo]

Ich kann dein Problem nachvollziehen bei mir auf FF ESR 45.9, interessanterweise funktionierts aber im baugleichen Tor-Browser. Das ist wohl irgendeine SSL-Sache, denn starte ich über http:// anstatt https:// , dann funktioniert es - über https:// kommt die leere Seite. Setze ich aber unter about:config "network.http.spdy.enforce-tls-profile" auf false, dann funktioniert die Seite grundsätzlich auch im FF. Möglicherweise ist da irgendwas mit den Zertifikaten im FF nicht in Ordnung!?

[wanne]

Zur Website: https://demo.webdesign-wedel.de/
Da ist der Server kaputt. Nicht der FF.
Ich habe das mal gedebugged:
Zuerstmal ist das relativ seltsam, was die Seite da macht. Die handelt aus, und macht dann sofort renegotiation. Alles relativ hässlich.

Ruft man die Seite im Chromium auf läuft die mit dem Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) oder TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
Zumindest der erste ist auch der bevorzugte Ciphersuite vom Firefox. Der kann aber noch ein paar andere.
Und dann wählt der Server Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) den btw. auch Chrome könnte.
Und da bricht der Firefox dann irgend wann ab.
Deaktiviert man die CBC suites im Firefox, kann man die Seite ohne Probleme laden.

Lädt man die Seite im Chrome und deaktivert die GCM ciphers bricht der die Verbindung auch ab: Allerdings mit einer Fehlermeldung: ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY

Das Problem ist offensichtlich, dass die HTTP/2 benutzen. Und rfc7540 sagt da andere Anforderungen an TLS an. Die Browser sind da deutlich härter was sie an TLS akzeptieren und was nicht. Im Anhang "TLS 1.2 Cipher Suite Black List" gibt gibts da ne ganze Reihe von Ciphers, die nicht mehr akzeptiert werden. Und da taucht halt unter anderem der TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA auf. Will man die Seite aufrufen kann man entweder HTTP/2 abschalten, damit der FF auf HTTP/1.1 zurück fällt und den TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA Cipher akzeptiert oder alle CBC ciphers. damit der Webserver gezwungen ist einen erlaubten GCM Cipher zu nutzen.
Ich nehme an, dass sich der aktuelle FF so verhält und es deswegen nicht zu Problemen kommt.

So ein paar Gruselfunde am Rand:

• Firefox scheint TLS Sessionst im Profilordner zu speichern. Finde ich privacy mäßig eher unangenehm.
• Daneben nutzt der FF aus den Quellen seine eigene libnss obwohl er mit libnss3 problemlos zurecht käme. Vielleicht mal den Paketeierer fragen warum er das macht

[paulderfinne]

Setze ich aber unter about:config "network.http.spdy.enforce-tls-profile" auf false, dann funktioniert die Seite grundsätzlich auch im FF.

In der Tat. Vielen herzlichen Dank. Allerdings habe ich keine Ahnung, was ich da nun auf false gesetzt habe.
Ist das ein Bug, den man melden sollte?

[wanne]

Sorry ich hatte den Beitrag im falschen Forum gepostet und jetzt verschoben. Deswegen hat paulderfinne den Beitrag zwar vor mir hier gepostet aber er wird erscheint aber nach mir.

Als antwort dazu:

Ist das ein Bug, den man melden sollte?

Ja, aber beim Betreiber der Website.

In der Tat. Vielen herzlichen Dank. Allerdings habe ich keine Ahnung, was ich da nun auf false gesetzt habe.

Du hast abgeschaltet dass Firefox die härteren HTTP/2 Anforderungen anwendet und stattdessen auch bei HTTP/2 alles erlaubt, was er auch bei normalem HTTP/1.1 erlauben würde.

[paulderfinne]

Vielen Dank für eure Beiträge. Bei wannes Einlage muss ich gestehen verstehe ich nur "Bahnhof". Aber ich werde das auf jeden Fall dem Betreiber melden. Möge er sich mit den TLS ´und mit rfc7540 rumschlagen.
Ich setze das jetzt auf gelöst und bin euch, wie immer vom ganzen Herzen Dank schuldig.

[wanne]

Kurz zusammengefasst: Der Server versucht spdy zu reden und verschlüsselt das mit der Verschlüsselung AES_CBC_SHA.
Einige Autoren von spdy bzw. http/2 (das waren wohl vor allem die Leute von google) hielten die Verschlüsslung AES_CBC_SHA für zu fehleranfällig und damit für zu unsicher und verboten die Nutzung von AES_CBC_SHA in Verbindung mit HTTP/2. Entsprechend verweigern Chrome und Firefox die Kommunikation wenn der Server HTTP/2 AES_CBC_SHA verschlüsseln will.
Für http/1.1 war AES_CBC_SHA mit ~90% bis vor kurzem die bei weitem häufigst genutzte Verschlüsselung. (Und ist es mit Abstrichen bis heute noch.) Deswegen erlauben Browser AES_CBC_SHA noch als sicher für http/1.1, während sie sie für http/2 ablehnen.
Die Idee ist die: Für alte http/1.1 Anwendungen ist man abwärtskompatibel. Für neue http/2 verlangt man bessere Verschlüsslung und bricht die Verbindung mit der Fehlermeldung "INADEQUATE_SECURITY" (unpassende Sicherheit) ab.
Problem beim Firefox ist, dass diese Fehlermeldung an den Server (Webseitenbetreiber) raus geht. Als Nutzer (surfer) merkt davon leider gar nichts.

Man kann das Problem jetzt auf drei Arten lösen:

• network.http.spdy.enforce-tls-profile auf false setzen. Dann erlaubt der Firefox auch für die neuen http2 Verbindungen den "alten" AES_CBC_SHA
• Alle security.ssl3.ecdhe_*_aes_*_sha auf false setzen. Dann verrät der Firefox nicht mehr, dass er den alten AES_CBC_SHA beherrscht. Der Sever schwenkt dann automatisch auf den moderneren AES_128_GCM_SHA256 um, der auch für http/2 erlaubt ist.
• network.http.spdy.enabled und network.http.spdy.enabled.http2 auf fals setzen dann spricht der Firefox nur noch http/1.1 wo er AES_CBC_SHA noch erlaubt.

[mcmannehan]

Hallo zusammen,

ich bin der Besitzer der Webseite demo.webdesign-wedel.de war lange beschäftigt, aber jetzt kann ich mich mal zu diesem Thema äußern.

@wanna
Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2. Du erklärst mit vielen spezial Worten, was da passiert möglicherweise beeindruckts Du damit die normalen Anwender, mich aber nicht.

Zu sagen, das der Server kaputt ist, zeigt mir, dass Du viele Zusammenhänge nicht bzw. nur teilweise verstehst. Ist immer einfach, alles auf Andere zu schieben, oder?

Immer daran denken, zu 99,9% sitzt der Fehler vor dem Computer. Nur noch 1.6% weltweit benutzen HTTPS 1.1 und diese 1.6% bekommen
dann Fehler, wenn:
1. der Browser falsch eingestellt ist
2. alte System Software verwendet wird
3. Irgendwelche Browser verwendet werden die nicht den Standard verwenden.

Immer wieder stelle ich in vielen Foren fest, dass Leute mit unvollständigen Wissen antworten. Meist beeindruckt dies normale Anwender, da viele von diesen Anwendern sich Ihr bisschen Wissen über Foren zusammen suchen.

Meine Empfehlung an alle: Updatet Euer System und: Ein Webbrowser auf einem Server der als Webserver dient, hat da überhaupt nichts verloren, besonders nicht ohne X-Server, denn diese Browser sind meist veraltet.

In diesem Sinne: Computer helfen uns bei den Problemen die wir ohne sie nicht hätten!!!

[seep]

Immer wieder stelle ich in vielen Foren fest, dass Leute mit unvollständigen Wissen antworten. ...
Ein Webbrowser auf einem Server der als Webserver dient, hat da überhaupt nichts verloren, besonders nicht ohne X-Server

[wanne]

Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2.

Es gibt weder HTTPS 1.1 noch HTTPS 2. Es gibt TLS 1.1 Was die Versionsnummer 2 hat (Wer sich das ausgedacht hat gehört geschlagen.) und TLS 1.2 Und HTTP/1.1 und einen Draft für HTTP/2.
Kombiniert man beides erhält man https (ohne Versionsnummer).

Dein Server unterstützt HTTP/1.0, HTTP/1.1 HTTP/2 und SPDY daneben spricht er SSL 3.1 TLS 1 TLS 1.1 TLS 1.2

Nur noch 1.6% weltweit benutzen HTTPS 1.1

Lediglich 14% der Webseiten unterstützen HTTP/2. Frage micht wie die anderen 86% aufgerufen werden. Quelle https://w3techs.com/technologies/detail ... p2/all/all

[mcmannehan]

Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2.

Es gibt weder HTTPS 1.1 noch HTTPS 2. Es gibt TLS 1.1 Was die Versionsnummer 2 hat (Wer sich das ausgedacht hat gehört geschlagen.) und TLS 1.2 Und HTTP/1.1 und einen Draft für HTTP/2.
Kombiniert man beides erhält man https (ohne Versionsnummer).

Dein Server unterstützt HTTP/1.0, HTTP/1.1 HTTP/2 und SPDY daneben spricht er SSL 3.1 TLS 1 TLS 1.1 TLS 1.2

Nur noch 1.6% weltweit benutzen HTTPS 1.1

Lediglich 14% der Webseiten unterstützen HTTP/2. Frage micht wie die anderen 86% aufgerufen werden. Quelle https://w3techs.com/technologies/detail ... p2/all/all

Du hast keine Ahnung, aber macht nichts, denn HTTPS oder HTTP/2 wird von mehr als 14% benutzt. Du lebst in Der Steinzeit, Informiere Dich mal richtig. Und was mein Server unterstützt kannst Du nur beurteilen, wenn Du das was Du debugged hast auch zu 100% verstehst. Das tust Du nicht, leider! Der Server versteht für die SSL Verschlüsselung ausschließlich nur HTTP/2.

Meine Erkärungen sollen auch für den normal User verständlich sein. Mit Fermdwörtern kann ich auch umgehen, ich verstehe diese sogar..., hilft aber in den meisten Fällen dem normalen User nicht.

Es geht in dem hier angesprochenen Problem um HTTPS und um die Hosting Provider und über 98% benutzten HTTP/2. mit neuem TLS. Schon die Info gefunden bzw bekommen, dass es schon eine Version 3 gibt?

Nicht die, die das erfunden haben, sondern die, die sich weiterhin mit altem Zeug abgeben gehören geschlagen.

Auch da https://w3techs.com/technologies/detail ... p2/all/all solltest Du richtig lesen. Wer lesen kann ist klar im Vorteil.

Und Minderheiten werden immer Minderheiten bleiben, so wie dieses HTTPS Problem für die utopischen und veralteten bzw falsch konfigurierten Webbrowser. Viel Spass weiterhin...

[mcmannehan]

Hier mal Informationen mit denen man siehst, was mit HTTP/2 usw abgeht:

https://blog.cloudflare.com/introducing-http2/

http://caniuse.com/#feat=http2

Ebenso ist da mal genau und proffesionell erklärt was HTTP/2, SPDY, usw. ist, leider nur in english.