[gelöst]Firefox und https
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
[gelöst]Firefox und https
Hallo liebe Debiangemeinde,
ich habe ein Problem mit dem Firefox.
Ich weiß jetzt nicht ob das hier das gleiche Problem ist wie hier: viewtopic.php?f=29&t=165118
Bei mir kann ich diese Site nicht mit dem firefox aufrufen: https://demo.webdesign-wedel.de
da kommt einfach nur eine leere Site. Benutze ich aber beispielsweise den lightweightbrowser surf, funktioniert das.
Und zwar sowohl bei stable als auch bei testing. Habe jetzt die Version bei Stable nicht im Kopf, aber dort funktioniert es ebenfalls nicht, hier bei testing habe ich 45.9.0
ich habe ein Problem mit dem Firefox.
Ich weiß jetzt nicht ob das hier das gleiche Problem ist wie hier: viewtopic.php?f=29&t=165118
Bei mir kann ich diese Site nicht mit dem firefox aufrufen: https://demo.webdesign-wedel.de
da kommt einfach nur eine leere Site. Benutze ich aber beispielsweise den lightweightbrowser surf, funktioniert das.
Und zwar sowohl bei stable als auch bei testing. Habe jetzt die Version bei Stable nicht im Kopf, aber dort funktioniert es ebenfalls nicht, hier bei testing habe ich 45.9.0
Zuletzt geändert von paulderfinne am 21.05.2017 11:46:19, insgesamt 1-mal geändert.
-
- Beiträge: 128
- Registriert: 05.09.2016 12:04:56
- Lizenz eigener Beiträge: MIT Lizenz
Re: Firefox und https
irgendwelche Erweiterungen in Firefox aktiv?
Der Fremde ist nur in der Fremde ein Fremder (Karl Valentin).
- seep
- Beiträge: 544
- Registriert: 31.10.2004 14:21:08
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: HSK
Re: Firefox und https
Ich nicht, Seite lädt normal.paulderfinne hat geschrieben:ich habe ein Problem mit dem Firefox.
Re: Firefox und https
Hallo!
Bei mir ist das auch so. Ich habe zwar NoSkript aktiv aber auch wenn ich alles erlaube ist die Seite leer. In Konqueror gehts.
Komisch!
Alex
Bei mir ist das auch so. Ich habe zwar NoSkript aktiv aber auch wenn ich alles erlaube ist die Seite leer. In Konqueror gehts.
Komisch!
Alex
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
Re: Firefox und https
Habe sämtliche addons und extensions auf inaktiv gesetzt, gleiches Resultat.2undvierzig hat geschrieben:irgendwelche Erweiterungen in Firefox aktiv?
Komisch. Was ist denn da los? ES muss ja am Firefox liegen, da surf das kann.seep hat geschrieben: Ich nicht, Seite lädt normal.
- seep
- Beiträge: 544
- Registriert: 31.10.2004 14:21:08
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: HSK
Re: Firefox und https
Starte mal aus dem Terminal heraus, dann siehtst Du vielleicht die Fehlerausgaben. Vielleicht auch mal mit --safe-mode starten, vielleicht macht ja ein Plugin Unfug.
Edit: Ich bin hier mit einem Firefox 53.0.2 / Ubuntu unterwegs, mit NoScript / Ghostery / uBlock Origin, keine Probleme.
Edit: Ich bin hier mit einem Firefox 53.0.2 / Ubuntu unterwegs, mit NoScript / Ghostery / uBlock Origin, keine Probleme.
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
Re: Firefox und https
Aus dem Terminal gestartet -> Keine Fehlermeldung, aber auch keine Siteseep hat geschrieben:Starte mal aus dem Terminal heraus, dann siehtst Du vielleicht die Fehlerausgaben. Vielleicht auch mal mit --safe-mode starten, vielleicht macht ja ein Plugin Unfug..
Mit --safe-mode das Gleiche.
Liegt es an der Version? Ist dort ein Bug? Du hast ja eine viel höhere Version.
Re: Firefox und https
Auch wenn es nichts hilft:
- gibt Firefox den Quellcode aus?
- was sagen die Entwicklertools wie Laufzeitanalyse, ...
- gibt Firefox den Quellcode aus?
- was sagen die Entwicklertools wie Laufzeitanalyse, ...
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
Re: Firefox und https
Nein. es passiert nix, absolut nix.uname hat geschrieben:Auch wenn es nichts hilft:
- gibt Firefox den Quellcode aus?
Den Quellcode hqabe ich jetzt nicht parat. Auch keine Entwicklungsumgebung.
Re: Firefox und https
Ich kann dein Problem nachvollziehen bei mir auf FF ESR 45.9, interessanterweise funktionierts aber im baugleichen Tor-Browser. Das ist wohl irgendeine SSL-Sache, denn starte ich über http:// anstatt https:// , dann funktioniert es - über https:// kommt die leere Seite. Setze ich aber unter about:config "network.http.spdy.enforce-tls-profile" auf false, dann funktioniert die Seite grundsätzlich auch im FF. Möglicherweise ist da irgendwas mit den Zertifikaten im FF nicht in Ordnung!?
Re: Firefox ESR 45.9.0: probleme mit web.de-Mail-Oberfläche
Zur Website: https://demo.webdesign-wedel.de/
Da ist der Server kaputt. Nicht der FF.
Ich habe das mal gedebugged:
Zuerstmal ist das relativ seltsam, was die Seite da macht. Die handelt aus, und macht dann sofort renegotiation. Alles relativ hässlich.
Ruft man die Seite im Chromium auf läuft die mit dem Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) oder TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
Zumindest der erste ist auch der bevorzugte Ciphersuite vom Firefox. Der kann aber noch ein paar andere.
Und dann wählt der Server Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) den btw. auch Chrome könnte.
Und da bricht der Firefox dann irgend wann ab.
Deaktiviert man die CBC suites im Firefox, kann man die Seite ohne Probleme laden.
Lädt man die Seite im Chrome und deaktivert die GCM ciphers bricht der die Verbindung auch ab: Allerdings mit einer Fehlermeldung: ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
Das Problem ist offensichtlich, dass die HTTP/2 benutzen. Und rfc7540 sagt da andere Anforderungen an TLS an. Die Browser sind da deutlich härter was sie an TLS akzeptieren und was nicht. Im Anhang "TLS 1.2 Cipher Suite Black List" gibt gibts da ne ganze Reihe von Ciphers, die nicht mehr akzeptiert werden. Und da taucht halt unter anderem der TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA auf. Will man die Seite aufrufen kann man entweder HTTP/2 abschalten, damit der FF auf HTTP/1.1 zurück fällt und den TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA Cipher akzeptiert oder alle CBC ciphers. damit der Webserver gezwungen ist einen erlaubten GCM Cipher zu nutzen.
Ich nehme an, dass sich der aktuelle FF so verhält und es deswegen nicht zu Problemen kommt.
So ein paar Gruselfunde am Rand:
Da ist der Server kaputt. Nicht der FF.
Ich habe das mal gedebugged:
Zuerstmal ist das relativ seltsam, was die Seite da macht. Die handelt aus, und macht dann sofort renegotiation. Alles relativ hässlich.
Ruft man die Seite im Chromium auf läuft die mit dem Cipher Suite: TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b) oder TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
Zumindest der erste ist auch der bevorzugte Ciphersuite vom Firefox. Der kann aber noch ein paar andere.
Und dann wählt der Server Cipher Suite: TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) den btw. auch Chrome könnte.
Und da bricht der Firefox dann irgend wann ab.
Deaktiviert man die CBC suites im Firefox, kann man die Seite ohne Probleme laden.
Lädt man die Seite im Chrome und deaktivert die GCM ciphers bricht der die Verbindung auch ab: Allerdings mit einer Fehlermeldung: ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY
Das Problem ist offensichtlich, dass die HTTP/2 benutzen. Und rfc7540 sagt da andere Anforderungen an TLS an. Die Browser sind da deutlich härter was sie an TLS akzeptieren und was nicht. Im Anhang "TLS 1.2 Cipher Suite Black List" gibt gibts da ne ganze Reihe von Ciphers, die nicht mehr akzeptiert werden. Und da taucht halt unter anderem der TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA auf. Will man die Seite aufrufen kann man entweder HTTP/2 abschalten, damit der FF auf HTTP/1.1 zurück fällt und den TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA Cipher akzeptiert oder alle CBC ciphers. damit der Webserver gezwungen ist einen erlaubten GCM Cipher zu nutzen.
Ich nehme an, dass sich der aktuelle FF so verhält und es deswegen nicht zu Problemen kommt.
So ein paar Gruselfunde am Rand:
- Firefox scheint TLS Sessionst im Profilordner zu speichern. Finde ich privacy mäßig eher unangenehm.
- Daneben nutzt der FF aus den Quellen seine eigene libnss obwohl er mit libnss3 problemlos zurecht käme. Vielleicht mal den Paketeierer fragen warum er das macht
rot: Moderator wanne spricht, default: User wanne spricht.
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
Re: Firefox und https
In der Tat. Vielen herzlichen Dank. Allerdings habe ich keine Ahnung, was ich da nun auf false gesetzt habe.tobo hat geschrieben:Setze ich aber unter about:config "network.http.spdy.enforce-tls-profile" auf false, dann funktioniert die Seite grundsätzlich auch im FF.
Ist das ein Bug, den man melden sollte?
Re: Firefox und https
Sorry ich hatte den Beitrag im falschen Forum gepostet und jetzt verschoben. Deswegen hat paulderfinne den Beitrag zwar vor mir hier gepostet aber er wird erscheint aber nach mir.
Als antwort dazu:
Als antwort dazu:
Ja, aber beim Betreiber der Website.paulderfinne hat geschrieben:Ist das ein Bug, den man melden sollte?
Du hast abgeschaltet dass Firefox die härteren HTTP/2 Anforderungen anwendet und stattdessen auch bei HTTP/2 alles erlaubt, was er auch bei normalem HTTP/1.1 erlauben würde.In der Tat. Vielen herzlichen Dank. Allerdings habe ich keine Ahnung, was ich da nun auf false gesetzt habe.
rot: Moderator wanne spricht, default: User wanne spricht.
- paulderfinne
- Beiträge: 471
- Registriert: 23.08.2004 12:44:02
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Osternohe
Re: Firefox und https
Vielen Dank für eure Beiträge. Bei wannes Einlage muss ich gestehen verstehe ich nur "Bahnhof". Aber ich werde das auf jeden Fall dem Betreiber melden. Möge er sich mit den TLS ´und mit rfc7540 rumschlagen.
Ich setze das jetzt auf gelöst und bin euch, wie immer vom ganzen Herzen Dank schuldig.
Ich setze das jetzt auf gelöst und bin euch, wie immer vom ganzen Herzen Dank schuldig.
Re: Firefox und https
Kurz zusammengefasst: Der Server versucht spdy zu reden und verschlüsselt das mit der Verschlüsselung AES_CBC_SHA.
Einige Autoren von spdy bzw. http/2 (das waren wohl vor allem die Leute von google) hielten die Verschlüsslung AES_CBC_SHA für zu fehleranfällig und damit für zu unsicher und verboten die Nutzung von AES_CBC_SHA in Verbindung mit HTTP/2. Entsprechend verweigern Chrome und Firefox die Kommunikation wenn der Server HTTP/2 AES_CBC_SHA verschlüsseln will.
Für http/1.1 war AES_CBC_SHA mit ~90% bis vor kurzem die bei weitem häufigst genutzte Verschlüsselung. (Und ist es mit Abstrichen bis heute noch.) Deswegen erlauben Browser AES_CBC_SHA noch als sicher für http/1.1, während sie sie für http/2 ablehnen.
Die Idee ist die: Für alte http/1.1 Anwendungen ist man abwärtskompatibel. Für neue http/2 verlangt man bessere Verschlüsslung und bricht die Verbindung mit der Fehlermeldung "INADEQUATE_SECURITY" (unpassende Sicherheit) ab.
Problem beim Firefox ist, dass diese Fehlermeldung an den Server (Webseitenbetreiber) raus geht. Als Nutzer (surfer) merkt davon leider gar nichts.
Man kann das Problem jetzt auf drei Arten lösen:
Einige Autoren von spdy bzw. http/2 (das waren wohl vor allem die Leute von google) hielten die Verschlüsslung AES_CBC_SHA für zu fehleranfällig und damit für zu unsicher und verboten die Nutzung von AES_CBC_SHA in Verbindung mit HTTP/2. Entsprechend verweigern Chrome und Firefox die Kommunikation wenn der Server HTTP/2 AES_CBC_SHA verschlüsseln will.
Für http/1.1 war AES_CBC_SHA mit ~90% bis vor kurzem die bei weitem häufigst genutzte Verschlüsselung. (Und ist es mit Abstrichen bis heute noch.) Deswegen erlauben Browser AES_CBC_SHA noch als sicher für http/1.1, während sie sie für http/2 ablehnen.
Die Idee ist die: Für alte http/1.1 Anwendungen ist man abwärtskompatibel. Für neue http/2 verlangt man bessere Verschlüsslung und bricht die Verbindung mit der Fehlermeldung "INADEQUATE_SECURITY" (unpassende Sicherheit) ab.
Problem beim Firefox ist, dass diese Fehlermeldung an den Server (Webseitenbetreiber) raus geht. Als Nutzer (surfer) merkt davon leider gar nichts.
Man kann das Problem jetzt auf drei Arten lösen:
- network.http.spdy.enforce-tls-profile auf false setzen. Dann erlaubt der Firefox auch für die neuen http2 Verbindungen den "alten" AES_CBC_SHA
- Alle security.ssl3.ecdhe_*_aes_*_sha auf false setzen. Dann verrät der Firefox nicht mehr, dass er den alten AES_CBC_SHA beherrscht. Der Sever schwenkt dann automatisch auf den moderneren AES_128_GCM_SHA256 um, der auch für http/2 erlaubt ist.
- network.http.spdy.enabled und network.http.spdy.enabled.http2 auf fals setzen dann spricht der Firefox nur noch http/1.1 wo er AES_CBC_SHA noch erlaubt.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3
- Registriert: 02.06.2017 05:37:48
Re: [gelöst]Firefox und https
Hallo zusammen,
ich bin der Besitzer der Webseite demo.webdesign-wedel.de war lange beschäftigt, aber jetzt kann ich mich mal zu diesem Thema äußern.
@wanna
Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2. Du erklärst mit vielen spezial Worten, was da passiert möglicherweise beeindruckts Du damit die normalen Anwender, mich aber nicht.
Zu sagen, das der Server kaputt ist, zeigt mir, dass Du viele Zusammenhänge nicht bzw. nur teilweise verstehst. Ist immer einfach, alles auf Andere zu schieben, oder?
Immer daran denken, zu 99,9% sitzt der Fehler vor dem Computer. Nur noch 1.6% weltweit benutzen HTTPS 1.1 und diese 1.6% bekommen
dann Fehler, wenn:
1. der Browser falsch eingestellt ist
2. alte System Software verwendet wird
3. Irgendwelche Browser verwendet werden die nicht den Standard verwenden.
Immer wieder stelle ich in vielen Foren fest, dass Leute mit unvollständigen Wissen antworten. Meist beeindruckt dies normale Anwender, da viele von diesen Anwendern sich Ihr bisschen Wissen über Foren zusammen suchen.
Meine Empfehlung an alle: Updatet Euer System und: Ein Webbrowser auf einem Server der als Webserver dient, hat da überhaupt nichts verloren, besonders nicht ohne X-Server, denn diese Browser sind meist veraltet.
In diesem Sinne: Computer helfen uns bei den Problemen die wir ohne sie nicht hätten!!!
ich bin der Besitzer der Webseite demo.webdesign-wedel.de war lange beschäftigt, aber jetzt kann ich mich mal zu diesem Thema äußern.
@wanna
Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2. Du erklärst mit vielen spezial Worten, was da passiert möglicherweise beeindruckts Du damit die normalen Anwender, mich aber nicht.
Zu sagen, das der Server kaputt ist, zeigt mir, dass Du viele Zusammenhänge nicht bzw. nur teilweise verstehst. Ist immer einfach, alles auf Andere zu schieben, oder?
Immer daran denken, zu 99,9% sitzt der Fehler vor dem Computer. Nur noch 1.6% weltweit benutzen HTTPS 1.1 und diese 1.6% bekommen
dann Fehler, wenn:
1. der Browser falsch eingestellt ist
2. alte System Software verwendet wird
3. Irgendwelche Browser verwendet werden die nicht den Standard verwenden.
Immer wieder stelle ich in vielen Foren fest, dass Leute mit unvollständigen Wissen antworten. Meist beeindruckt dies normale Anwender, da viele von diesen Anwendern sich Ihr bisschen Wissen über Foren zusammen suchen.
Meine Empfehlung an alle: Updatet Euer System und: Ein Webbrowser auf einem Server der als Webserver dient, hat da überhaupt nichts verloren, besonders nicht ohne X-Server, denn diese Browser sind meist veraltet.
In diesem Sinne: Computer helfen uns bei den Problemen die wir ohne sie nicht hätten!!!
- seep
- Beiträge: 544
- Registriert: 31.10.2004 14:21:08
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: HSK
Re: [gelöst]Firefox und https
mcmannehan hat geschrieben:Immer wieder stelle ich in vielen Foren fest, dass Leute mit unvollständigen Wissen antworten. ...
Ein Webbrowser auf einem Server der als Webserver dient, hat da überhaupt nichts verloren, besonders nicht ohne X-Server
Re: [gelöst]Firefox und https
Es gibt weder HTTPS 1.1 noch HTTPS 2. Es gibt TLS 1.1 Was die Versionsnummer 2 hat (Wer sich das ausgedacht hat gehört geschlagen.) und TLS 1.2 Und HTTP/1.1 und einen Draft für HTTP/2.mcmannehan hat geschrieben:Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2.
Kombiniert man beides erhält man https (ohne Versionsnummer).
Dein Server unterstützt HTTP/1.0, HTTP/1.1 HTTP/2 und SPDY daneben spricht er SSL 3.1 TLS 1 TLS 1.1 TLS 1.2
Lediglich 14% der Webseiten unterstützen HTTP/2. Frage micht wie die anderen 86% aufgerufen werden. Quelle https://w3techs.com/technologies/detail ... p2/all/allmcmannehan hat geschrieben:Nur noch 1.6% weltweit benutzen HTTPS 1.1
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3
- Registriert: 02.06.2017 05:37:48
Re: [gelöst]Firefox und https
Du hast keine Ahnung, aber macht nichts, denn HTTPS oder HTTP/2 wird von mehr als 14% benutzt. Du lebst in Der Steinzeit, Informiere Dich mal richtig. Und was mein Server unterstützt kannst Du nur beurteilen, wenn Du das was Du debugged hast auch zu 100% verstehst. Das tust Du nicht, leider! Der Server versteht für die SSL Verschlüsselung ausschließlich nur HTTP/2.wanne hat geschrieben:Es gibt weder HTTPS 1.1 noch HTTPS 2. Es gibt TLS 1.1 Was die Versionsnummer 2 hat (Wer sich das ausgedacht hat gehört geschlagen.) und TLS 1.2 Und HTTP/1.1 und einen Draft für HTTP/2.mcmannehan hat geschrieben:Wen Du richtig debugged hättest, hättest Du sofort festgestellt, dass der Server überhaupt kein HTTPS 1.1 (man achte auf das"S") akzeptiert, sondern nur HTTPS 2.
Kombiniert man beides erhält man https (ohne Versionsnummer).
Dein Server unterstützt HTTP/1.0, HTTP/1.1 HTTP/2 und SPDY daneben spricht er SSL 3.1 TLS 1 TLS 1.1 TLS 1.2
Lediglich 14% der Webseiten unterstützen HTTP/2. Frage micht wie die anderen 86% aufgerufen werden. Quelle https://w3techs.com/technologies/detail ... p2/all/allmcmannehan hat geschrieben:Nur noch 1.6% weltweit benutzen HTTPS 1.1
Meine Erkärungen sollen auch für den normal User verständlich sein. Mit Fermdwörtern kann ich auch umgehen, ich verstehe diese sogar..., hilft aber in den meisten Fällen dem normalen User nicht.
Es geht in dem hier angesprochenen Problem um HTTPS und um die Hosting Provider und über 98% benutzten HTTP/2. mit neuem TLS. Schon die Info gefunden bzw bekommen, dass es schon eine Version 3 gibt?
Nicht die, die das erfunden haben, sondern die, die sich weiterhin mit altem Zeug abgeben gehören geschlagen.
Auch da https://w3techs.com/technologies/detail ... p2/all/all solltest Du richtig lesen. Wer lesen kann ist klar im Vorteil.
Und Minderheiten werden immer Minderheiten bleiben, so wie dieses HTTPS Problem für die utopischen und veralteten bzw falsch konfigurierten Webbrowser. Viel Spass weiterhin...
-
- Beiträge: 3
- Registriert: 02.06.2017 05:37:48
Re: [gelöst]Firefox und https
Hier mal Informationen mit denen man siehst, was mit HTTP/2 usw abgeht:
https://blog.cloudflare.com/introducing-http2/
http://caniuse.com/#feat=http2
Ebenso ist da mal genau und proffesionell erklärt was HTTP/2, SPDY, usw. ist, leider nur in english.
https://blog.cloudflare.com/introducing-http2/
http://caniuse.com/#feat=http2
Ebenso ist da mal genau und proffesionell erklärt was HTTP/2, SPDY, usw. ist, leider nur in english.