DEBIAN Forum wird nicht vertraut

[JimHawkins]

Aber über Extras -> Seiteninformationen erhalte ich unter Sicherheit:

Code: Alles auswählen

Webseite:       debianforum.de
Besitzer:         Diese Website stellt keine Informationen über den Besitzer zur Verfügung.
Validiert von:    Nicht angegeben

Das sieht so aus, als würdest du nicht über https gehen.

Die Zertifikat-Ansicht sagt:

Code: Alles auswählen

Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden.
...

Der Punkt " O Diese Ausnahme dauerhaft speichern" ist ausgegraut.

Das sollte in dem Fall allerdings nicht kommen.

Das würde ich spontan als unvollständiges/kaputtes Zertifikat interpretieren...

Gelöscht hattest du CACert ja schon?

Ich bin auch gerade etwas irritiert. Ich habe mir neulich ein neues FF-Profil angelegt. Ich wurde aber daraufhin nicht darauf aufmerksam gemacht, dass debianforum.de nicht vertraut wird. Und CACert steht nicht in meiner Liste drin. Oder bin ich jetzt blind?

Edit: Doch, hab's gefunden, glaub ich.

Root CA
=> CAcert Class 3 Root
=> CA Cert Signing Authority

[Hanisch]

Aber über Extras -> Seiteninformationen erhalte ich unter Sicherheit:

Code: Alles auswählen

Webseite:       debianforum.de
Besitzer:         Diese Website stellt keine Informationen über den Besitzer zur Verfügung.
Validiert von:    Nicht angegeben

Das sieht so aus, als würdest du nicht über https gehen.

Aber oben steht als URL https://...

Die Zertifikat-Ansicht sagt:

Code: Alles auswählen

Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden.
...

Der Punkt " O Diese Ausnahme dauerhaft speichern" ist ausgegraut.

Das sollte in dem Fall allerdings nicht kommen.

Ja, aber es kommt doch - und warum?

Das würde ich spontan als unvollständiges/kaputtes Zertifikat interpretieren...

Ja, aber woran liegt das, wer ist dafür verantwortlich?

Gelöscht hattest du CACert ja schon?

Keine Ahnung, habe mit CACert nie was zu tun gehabt.

Gruß
Ch. Hanisch

[JimHawkins]

Dann lösch doch mal die Einträge, die ich in meinem Edit im Quote geschrieben hab.

Oder guck dir mal die Blacklist an, ob da was drin steht.

[Hanisch]

Dann lösch doch mal die Einträge, die ich in meinem Edit im Quote geschrieben hab.

Oder guck dir mal die Blacklist an, ob da was drin steht.

Da bin ich wieder mal völlig hilflos. Wo soll ich denn da Einträge löschen?
Wo finde ich denn diese Blackliste?

Gruß
Ch. Hanisch

[JimHawkins]

Bearbeiten => Einstellungen => Erweitert => Verschlüsselung.

Dort findest du die Buttons

• Zertifikat anzeigen, wo du Root CA das Vertrauen entziehen oder löschen kannst (ich klick den Button jetzt mal nicht selbst, also keine Ahnung, wie es dann weiter geht), und
• Zertifikatsperrliste (also die besagte Blacklist).

Ich glaube, einige Beiträge zuvor wurde schon gepostet, wo du das Zertifikat, nachdem du es gelöscht hast, wieder her kriegst.

[Cae]

/Bearbeiten/Eigenschaften/Erweitert/Verschlüsselung/Zertifikate anzeigen - dort findest du alles, was du brauchst. Oder durch irgendeine Rechtsklickkontextmenüaktion (puh!).

Gruß Cae

--Edit: oh, da war jemand schneller.

[Hanisch]

Hallo,

leider haben mich die vorangehenden Postings nicht weiter gebracht in meinem Verständnis von https://.. und irgendwelchen Zertifikaten.
Jedenfalls hat debianforum.de offensichtlich kein ordentliches Zertifikat.

Und warum der Punkt " O Diese Ausnahme dauerhaft speichern" ausgegraut ist, konnte mir auch bisher niemand erklären.

Ich habe ein Zertifikat von COMODO für Thunderbird und das war's.
Bisher habe ich im Browser keine Zertifikate gebraucht; die https://.. Seiten (Sparkasse usw.) funktionieren automatisch.
Was habt Ihr denn da für Sachen, daß Ihr bei Antworten im debianforum.de auf einer https://.. Seite antwortet?
Das ist mir bisher noch nie passiert und irritiert mich.

Muß ich mir denn nun ein Zertifikat besorgen, wenn ich auf Webseiten antworte?

Habe mir von der Web-Seite http://www.cacert.org/index.php?id=3 das Zertifikat Root-Zertifikat(PEM Format) in Firefox runtergeladen.
Es erscheint aber nirgendwo und es hat ich auch nichts verändert.

Gruß
Ch. Hanisch

[Cae]

Muß ich mir denn nun ein Zertifikat besorgen, wenn ich auf Webseiten antworte?

Nö, niemand hindert dich, unverschlüsseltes HTTP zu verwenden. Für die HTTPS-Verbindung zum Forum brauchst du entweder eine Ausnahme oder das Root-Zertifikat von CAcert.

Gruß Cae

[Lohengrin]

Aber über Extras -> Seiteninformationen erhalte ich unter Sicherheit:

Code: Alles auswählen

Webseite:       debianforum.de
Besitzer:         Diese Website stellt keine Informationen über den Besitzer zur Verfügung.
Validiert von:    Nicht angegeben

Die Zertifikat-Ansicht sagt:

Code: Alles auswählen

Dieses Zertifikat konnte aus unbekannten Gründen nicht verifiziert werden.
...

Wird dir das Zertifikat denn angezeigt? Falls ja, dann weißt du doch, nach was du suchen und löschen musst.

Jedenfalls hat debianforum.de offensichtlich kein ordentliches Zertifikat.

Wobei du mit ordentlich meinst, dass es dein Webbrowser im derzeitigen Zustand problemlos akzeptiert. Liegt das an debianforum.de oder liegt das an der Konfiguration deines Webbrowsers?

Bisher habe ich im Browser keine Zertifikate gebraucht; die https://.. Seiten (Sparkasse usw.) funktionieren automatisch.

Du wirst auch auf meinem Webserver mit https Probleme haben. Liegt das an meinem Zertifikat oder liegt das an der Konfiguration deines Browsers?

Habe mir von der Web-Seite http://www.cacert.org/index.php?id=3 das Zertifikat Root-Zertifikat(PEM Format) in Firefox runtergeladen.
Es erscheint aber nirgendwo und es hat ich auch nichts verändert.

Ich finde es bei mir unter Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate anzeigen -> Zertifizierungsstellen bei "Root CA".

[Hanisch]

Wird dir das Zertifikat denn angezeigt? Falls ja, dann weißt du doch, nach was du suchen und löschen musst.

Ja, es wird angezeigt. Aber anscheinend nicht brauchbar, daraus kann ich nicht entnehmen, was ich suchen bzw. löschen muß.
(Ich finde keine Möglichkeit in diesem Forum einen Screenshot anzuhängen!)

Wobei du mit ordentlich meinst, dass es dein Webbrowser im derzeitigen Zustand problemlos akzeptiert. Liegt das an debianforum.de oder liegt das an der Konfiguration deines Webbrowsers?

Ja, er akzeptiert es. Ich muß aber jedes mal erneut das Zertifikat runterladen und anwenden.

Du wirst auch auf meinem Webserver mit https Probleme haben. Liegt das an meinem Zertifikat oder liegt das an der Konfiguration deines Browsers?

Das möchte ich Dich fragen. Gib mir doch mal ein Beispiel von Deinem Webserver zum Testen.

Gruß
Ch. Hanisch

[schorsch_76]

Zur Info @ feltel: Das aktuelle Zertifikat scheint am 31.3.2012 auszulaufen

Gruß
schorsch

[Lohengrin]

Wird dir das Zertifikat denn angezeigt? Falls ja, dann weißt du doch, nach was du suchen und löschen musst.

Ja, es wird angezeigt. Aber anscheinend nicht brauchbar, daraus kann ich nicht entnehmen, was ich suchen bzw. löschen muß.
(Ich finde keine Möglichkeit in diesem Forum einen Screenshot anzuhängen!)

Wobei du mit ordentlich meinst, dass es dein Webbrowser im derzeitigen Zustand problemlos akzeptiert. Liegt das an debianforum.de oder liegt das an der Konfiguration deines Webbrowsers?

Ja, er akzeptiert es. Ich muß aber jedes mal erneut das Zertifikat runterladen und anwenden.

Ein Schuss ins Blaue: Hast du Schreibrecht auf die Konfigurationsdatei des Firefox? Keine Ahnung, um welche Datei es da geht.

[Hanisch]

Ein Schuss ins Blaue: Hast du Schreibrecht auf die Konfigurationsdatei des Firefox? Keine Ahnung, um welche Datei es da geht.

Die Konfigurationsdateien liegen doch alle im User-Bereich, also was sollen da Schreibrechte verletzt sein? Das Problem, daß ich die Ausnahme nicht permanent machen kann (ausgegraut) tritt sowohl unter Windows 7 als auch unter Linux auf.

Wäre denn durch Hinzufügen des Zertifikats das Sicherheitsproblem überhaupt endgültig gelöst?

Gruß
Ch. Hanisch

[uname]

Wäre denn durch Hinzufügen des Zertifikats das Sicherheitsproblem überhaupt endgültig gelöst?

Im Prinzip ist es gar kein Sicherheitsproblem. Man könnte z.B. über einen alternativen Weg einfach den MD5- oder SHA1-Fingerprint prüfen und ist genauso sicher. Alternativ muss man nur die CAcert-CA einbinden. Dann würden allen von CAcert signierten Zertifikaten vertraut.

CAcert erfüllt wohl nicht die Anforderungen des Firefox

http://www.mozilla.org/projects/security/certs/policy/

[Hanisch]

Wäre denn durch Hinzufügen des Zertifikats das Sicherheitsproblem überhaupt endgültig gelöst?

Im Prinzip ist es gar kein Sicherheitsproblem. Man könnte z.B. über einen alternativen Weg einfach den MD5- oder SHA1-Fingerprint prüfen und ist genauso sicher. Alternativ muss man nur die CAcert-CA einbinden. Dann würden allen von CAcert signierten Zertifikaten vertraut.

CAcert erfüllt wohl nicht die Anforderungen des Firefox

http://www.mozilla.org/projects/security/certs/policy/

Interessanterweise kann ich mit Firefox 3.6.11 und Seamonkey 2.0.9 unter Ubuntu 9.04 das Zertifikat permanent übernehmen (nicht ausgegraut!).
Also funktioniert es bei höheren Versionen von Firefox nicht.

Gruß
Ch. Hanisch

[Lohengrin]

Ein Schuss ins Blaue: Hast du Schreibrecht auf die Konfigurationsdatei des Firefox? Keine Ahnung, um welche Datei es da geht.

Die Konfigurationsdateien liegen doch alle im User-Bereich, also was sollen da Schreibrechte verletzt sein?

Aus Doofheit im falschen Verzeichnis ein "chmod -Rw" gemacht oder so ähnlich.

Das Problem, daß ich die Ausnahme nicht permanent machen kann (ausgegraut) tritt sowohl unter Windows 7 als auch unter Linux auf.

Ok. Das wars dann wohl nicht.

Interessanterweise kann ich mit Firefox 3.6.11 und Seamonkey 2.0.9 unter Ubuntu 9.04 das Zertifikat permanent übernehmen (nicht ausgegraut!).
Also funktioniert es bei höheren Versionen von Firefox nicht.

Damit ist das Problem wohl geklärt, aber leider nicht gelöst.

[Lohengrin]

@Hanisch
Ich habe bei Wheezy Iceweasel 8. Da gilt CAcert default als vertrauenswürdig.
Ich habe meinen Server mit https angewählt, und konnte dann das Zertifikat ungesehen akzeptieren. Beim nächsten Starten von Iceweasel fragte er nicht mehr nach.
Das Ganze liegt an deinem Firefox. Keine Ahnung, wie man das konfigurieren kann.

Nochwas zu debianforum.de mit http.
Ist dir klar, dass du dein Passwort dabei unverschlüsselt übers Netz schickst?

[duese]

[...]Der Punkt " O Diese Ausnahme dauerhaft speichern" ist ausgegraut.[...]Das soll jemand verstehen?[...]

Das liegt daran, dass Du unter Extras > Einstellungen > Datenschutz > Chronik > Firefox wird eine Chronik niemals anlegen einstellt hast.

Gruß,
Thomas

[Hanisch]

[...]Der Punkt " O Diese Ausnahme dauerhaft speichern" ist ausgegraut.[...]Das soll jemand verstehen?[...]

Das liegt daran, dass Du unter Extras > Einstellungen > Datenschutz > Chronik > Firefox wird eine Chronik niemals anlegen einstellt hast.

Na das ist ja ein seltsamer Zusammenhang.
Ich habe übrigens "nach benutzerdefinierten Einstellungen anlegen" eingestellt. Das wirkt wohl wie "nie anlegen" - oder?

Gruß
Ch. Hanisch

[Cae]

Das wirkt wohl wie "nie anlegen" - oder?

Nö? Hier zumindest nicht. Ich hab' da nur die normale Chronik und Cookies derselben Domain angeharkt. Btw. könntest du dir vermutlich einfach das Root-Zertifikat (Class 3, PEM) ziehen und installieren.

Gruß Cae