Forum: PC Hard- und Software Software Download benötigt - Browser weigert sich


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Ich benötige dringend die Open Source Software "Gemeinschaft" 
(VOIP-TK-Anlage), aber mein Firefox weigert sich, die Seite aufzurufen, 
weil das Zertifikat abgelaufen ist. In den Einstellungen von Firefox 
konnte ich keine Abschaltmöglichkeit finden. Kann ich das irgendwie 
aushebeln?

Die Seite ist https://www.alternative-solution.de

Danke für Tips.

von Dussel (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Das Problem hatte ich auch mal. Die einzige Lösung, die ich gefunden 
habe, war Safari zu verwenden. Es gab anscheinend auch mal ein Addon 
dafür, aber das wurde 'von einem Administrator entfernt'. Ich habe aber 
auch nicht übermäßig intensiv gesucht.

Ich kann mich natürlich täuschen, aber ich habe das Gefühl, dass die 
Entwickler dieser freien Software den Benutzern ihren Willen 
aufzwingen wollen.

von Dr. Sommer (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Dussel schrieb:
> Ich kann mich natürlich täuschen, aber ich habe das Gefühl, dass die
> Entwickler dieser freien Software den Benutzern ihren Willen aufzwingen
> wollen.

Manche (Viele) Nutzer muss man zu ihrem Glück, nämlich einem virenfreien 
Computer, zwingen... auch wenn sie unbedingt dubiose Websiten besuchen 
wollen. Denn Botnets und Spam betreffen ja alle Internet Nutzer.

von michael_ (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Die Seite geht bei mir.

Stimmt dein PC-Datum?

von ui (Gast)


Bewertung
0 lesenswert
nicht lesenswert
michael_ schrieb:
> Die Seite geht bei mir.
>
> Stimmt dein PC-Datum?

Ebenfalls. Das Zertifikat ist auch schon n knappes Monat gültig, also 
hast du irgendwas verkackt.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Manche (Viele) Nutzer muss man zu ihrem Glück[…] zwingen...
Das haben sich schon viele gedacht. Ich hatte immer den Eindruck, die 
freie-Software-Bewegung (die sicher nicht homogen ist), stünde gegen 
Zwang, Repression, Unterdrückung, Bevormundung und sowas. Vielleicht 
gilt das für Firefox auch und ich kenne nur die Lösung nicht, vielleicht 
ist Firefox da die unrühmliche Ausnahme, vielleicht ist die ganze 
Bewegung verlogen…
Ich weiß es nicht, es ist mit nur bei dem Thema aufgefallen. Wenn du 
eine Lösung hast, kannst du sie gerne nennen. Ich lasse mich gerne vom 
Gegenteil meiner Ansicht überzeugen.

von JJ (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Die Seite zeigt mir auch einen SSL Fehler, aber über "Erweitert" (unten 
auf der Seite), "Weiter zu..." komme ich auch weiter zur Site.

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Hab garnix verkackt, heute ist der 12. Februar 2017, 12:03 Uhr. Sitze an 
einem iMac mit neuestem Firefox ... Safari habe ich noch nicht probiert 
... werd ich jetzt mal tun.

von Great (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peer’s Certificate has been revoked

von Dussel (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Frank E. schrieb:
> 12. Februar 2017
Oh, verdammt, zwei Tage und ein Konzert verschlafen. ;-)

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Frank E. schrieb:
>> 12. Februar 2017
> Oh, verdammt, zwei Tage und ein Konzert verschlafen. ;-)

Ok, das ist nun wirklich blöd - das ist ein Tippfehler von mir. Es ist 
der 10. und so steht es auch in der Menüleiste. Sorry ...

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Ok, danke für den Tip, mit Safari bekomme ich die Seite auf und nun 
läuft der Download! Danke.

: Bearbeitet durch User
von IstSchonGutSo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Naja, StartCom halt. Der CA ist bei vielen Browsern rausgeflogen (aus 
gutem Grund!)

siehe hier:

https://www.heise.de/security/meldung/Zertifikats-Schmu-bei-WoSign-und-StartCom-Mozilla-macht-Ernst-3361574.html

von Dr. Sommer (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Das haben sich schon viele gedacht. Ich hatte immer den Eindruck, die
> freie-Software-Bewegung (die sicher nicht homogen ist), stünde gegen
> Zwang, Repression, Unterdrückung, Bevormundung und sowas. Vielleicht
> gilt das für Firefox auch und ich kenne nur die Lösung nicht, vielleicht
> ist Firefox da die unrühmliche Ausnahme, vielleicht ist die ganze
> Bewegung verlogen…
Du bist vollkommen frei, dir den Sourcecode vom Firefox herunterzuladen 
und dort eine Umgehung von TLS einzubauen. Aber beschwere dich dann 
nicht, wenn dein ISP dir irgendwann das Internet abschaltet weil du Spam 
versendest, oder wenn deine Amazon/Ebay/uc.net -Zugangsdaten abgefangen 
wurden usw... "Freie Software" bedeutet nicht, dass sie jeglichen Unfug 
zulässt, sondern nur dass du sie frei benutzen, verändern, und 
weitergeben kannst.

von Frank E. (Firma: Q3) (qualidat)


Bewertung
1 lesenswert
nicht lesenswert
Dr. Sommer schrieb:

> Du bist vollkommen frei, dir den Sourcecode vom Firefox herunterzuladen
> und dort eine Umgehung von TLS einzubauen. Aber beschwere dich dann
> nicht, wenn dein ISP dir irgendwann das Internet abschaltet weil du Spam
> versendest, oder wenn deine Amazon/Ebay/uc.net -Zugangsdaten abgefangen
> wurden usw... "Freie Software" bedeutet nicht, dass sie jeglichen Unfug
> zulässt, sondern nur dass du sie frei benutzen, verändern, und
> weitergeben kannst.

Ein vernünftiger Kompromiss wäre, in einem solchen Falle mit einem 
Button und nach deutlichen Warnungen, den Zugriff für einige Minuten 
zuzulassen (nicht dauerhaft speichern). Es kann nicht sein, dass man als 
Benutzer kurzerhand ausgesperrt wird ...

von Dr. Sommer (Gast)


Bewertung
5 lesenswert
nicht lesenswert
Frank E. schrieb:
> Es kann nicht sein, dass man als
> Benutzer kurzerhand ausgesperrt wird ...
Du hast Sorgen. Andere Hersteller (Microsoft, Apple, Google) sperren 
dich noch von viel mehr Dingen aus, z.B. vom Quellcode. Bei iGeräten 
darf man ja nichtmals beliebige Software auf das eigene Gerät spielen.

von hp-freund (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Müsste da nicht der Seitenbetreiber etwas tun?

von Der Andere (Gast)


Bewertung
3 lesenswert
nicht lesenswert
Frank E. schrieb:
> Es kann nicht sein, dass man als
> Benutzer kurzerhand ausgesperrt wird ...

Und das sagt ein Benutzer von Apple Geräten :-)

von Dussel (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Der Andere schrieb:
> Frank E. schrieb:
>> Es kann nicht sein, dass man als
>> Benutzer kurzerhand ausgesperrt wird ...
>
> Und das sagt ein Benutzer von Apple Geräten :-)
Apple lässt sowas zu. Damit war das in seinem und in meinem Fall kein 
Problem. Wenn man will, kann man auch in der 'Registry' (ich weiß nicht, 
wie das bei OSX heißt) allen möglichen Kram ändern.

von Niemand (Gast)


Bewertung
0 lesenswert
nicht lesenswert
> Ein vernünftiger Kompromiss wäre, in einem solchen Falle mit einem
> Button und nach deutlichen Warnungen, den Zugriff für einige Minuten
> zuzulassen (nicht dauerhaft speichern).
Und nun überlege mal warum die das nicht so gemacht haben?
> Es kann nicht sein, dass man als Benutzer kurzerhand ausgesperrt wird ...
Bei mir wird die Seite gar nicht geladen

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit www.alternative-solution.de 
aufgetreten. Das Zertifikat der Gegenstelle wurde widerrufen. 
Fehlercode: SEC_ERROR_REVOKED_CERTIFICATE

    Die Website kann nicht angezeigt werden, da die Authentizität der 
erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses 
Problem zu informieren.

Weitere Informationen…


und das weder im FF Version 51.0.1 noch im IE Version 8


Es besteht ein Problem mit dem Sicherheitszertifikat der Website.

 Das Sicherheitszertifikat dieser Website ist entweder abgelaufen oder 
noch nicht gültig.
Das Sicherheitszertifikat dieser Website wurde für eine andere Adresse 
der Website ausgestellt.

Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, 
Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben 
abzufangen.
  Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser 
Website wechseln.


Es ist schon ganz schön deprimierend, wie abhängig man von HW wie SW 
u.v.a von solchen Programmierern geworden ist!

von Bernd K. (prof7bit)


Bewertung
-3 lesenswert
nicht lesenswert
JJ schrieb:
> Die Seite zeigt mir auch einen SSL Fehler, aber über "Erweitert" (unten
> auf der Seite), "Weiter zu..." komme ich auch weiter zur Site.

Es gibt keinen "Erweitert" Button.

Das sehe ich heute auch zum ersten Mal. Früher konnte man sich 
wenigstens noch durch zwei drei Warnungen durchklicken und dann 
weiterbrausen, aber jetzt haben die das scheinbar komplett abgeschafft. 
Irgend ein Idiot mit zu viel Macht bei Mozilla leidet anscheinend an der 
Wahnvorstellung seinen Willen und seine absurden Vorstellungen der 
ganzen Welt aufzwingen zu wollen und keiner kann ihn absägen.

von Rolf M. (rmagnus)


Bewertung
2 lesenswert
nicht lesenswert
Bernd K. schrieb:
> Irgend ein Idiot mit zu viel Macht bei Mozilla leidet anscheinend an der
> Wahnvorstellung seinen Willen und seine absurden Vorstellungen der
> ganzen Welt aufzwingen zu wollen und keiner kann ihn absägen.

Irgendwie scheinst du (Wie die meisten hier) zu vergessen, dass das 
Problem hier nicht Firefox, sondern die Webseite ist.

hp-freund schrieb:
> Müsste da nicht der Seitenbetreiber etwas tun?

Niemand schrieb:
> Die Website kann nicht angezeigt werden, da die Authentizität der
> erhaltenen Daten nicht verifiziert werden konnte.
>     Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses
> Problem zu informieren.

Genau das wäre die Lösung, und nicht das Firefox-Bashing weil der die 
kaputte Webseite nicht öffnet.

von Dussel (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Irgendwie scheinst du (Wie die meisten hier) zu vergessen, dass das
> Problem hier nicht Firefox, sondern die Webseite ist.
Doch, Firefox macht den Mist. Offensichtlich wird auf Anfrage alles 
gesendet, was der Nutzer haben will und braucht. Sonst würde es mit 
anderen Browsern auch nicht funktionieren. Entweder sendet Firefox eine 
falsche Anfrage oder er entscheidet sich, das einfach nicht anzuzeigen. 
Auf jeden Fall macht Firefox die Probleme.

von Dr. Sommer (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Dussel schrieb:
> Sonst würde es mit anderen Browsern auch nicht funktionieren

Du verstehst wohl das Prinzip von TLS und Zertifikaten nicht. Andere 
Browser erlauben halt (noch) die Nutzung der fragwürdigen 
StartCom/WoSign Zertifikate.

Dussel schrieb:
> Entweder sendet Firefox eine falsche Anfrage oder er entscheidet sich,
> das einfach nicht anzuzeigen.
Richtig, Google und Mozilla haben sich entschlossen, dass 
StartCom/WoSign nicht mehr zu trauen ist und verweigern deren 
Zertifikate.

Dussel schrieb:
> Auf jeden Fall macht Firefox die Probleme.
Nein, StartCom/WoSign macht die Probleme, weil die derart 
unverantwortlich mit ihrer "Macht" umgegangen sind. Mozilla und Google 
haben nur darauf eine drastische, aber richtige Reaktion gebracht. Das 
war auch schon lange angekündigt. Websiten Betreiber die dennoch nicht 
ihren Zertifikat Anbieter wechseln haben dann halt Pech. Und das bei 
einer Seite die Software anbietet - klingt nicht sehr kompetent.

von Bernd K. (prof7bit)


Bewertung
-1 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Richtig, Google und Mozilla haben sich entschlossen, dass
> StartCom/WoSign nicht mehr zu trauen ist und verweigern deren
> Zertifikate.

Dem Zertifikat zu vertrauen oder nicht ist eine Sache, sich weigern eine 
Webseite anzuzeigen eine vollkommen andere!

Vielleicht interessiert sich der User überhaupt nicht für Authentizität 
oder Verschlüsselung, sondern will nur die Inhalte der Webseite sehen? 
Ein durchgestrichenes Schloss in der Adresszeile wäre bei Weitem genug. 
Ohne Zertifikatsprüfung ist die Verbindung zwar nicht besser aber auch 
kein bisschen schlechter als eine ganz normale http Verbindung, also 
sollte sie auch wie eine solche behandelt und angezeigt werden.

: Bearbeitet durch User
von Kaj (Gast)


Bewertung
4 lesenswert
nicht lesenswert
Ja, und dann wird dem User eine gefaelschte Seite untergeschoben, und 
dann ist das gejaule wieder gross, dass diese bloeden Browser keine 
Sicherheit bieten und gefaelligst etwas aendern muessen!

Es hindert euch nichts daran, euch mit Qt selber einen minimal Browser 
zu bauen. Dauert mit Python und PyQt nicht mal ne Stunde. Der 
interessiert sich dann auch einen scheiss fuer Zertifikate.

Um dem TO jetzt aber auch mal zu helfen:
Auf der Seite selbst kann ich keinen Download finden, nur einen Verweis 
auf die Installationsanleitung:
https://github.com/amooma/GS3/wiki/Installation

Dort gibt es einen Link zu einem aktuellen Download:
http://cdimage.debian.org/cdimage/archive/6.0.10/i386/iso-cd/debian-6.0.10-i386-netinst.iso

von Rolf M. (rmagnus)


Bewertung
4 lesenswert
nicht lesenswert
Bernd K. schrieb:
> Ohne Zertifikatsprüfung ist die Verbindung zwar nicht besser aber auch
> kein bisschen schlechter als eine ganz normale http Verbindung, also
> sollte sie auch wie eine solche behandelt und angezeigt werden.

Sehe ich nicht so. Eine Seite, die mit einem Zertifikat verschlüsselt 
ist, dessen Gültigkeit entzogen wurde, ist schlechter als eine Seite, 
die gar nicht verschlüsselt ist.

Kaj schrieb:
> Ja, und dann wird dem User eine gefaelschte Seite untergeschoben, und
> dann ist das gejaule wieder gross, dass diese bloeden Browser keine
> Sicherheit bieten und gefaelligst etwas aendern muessen!

Ja, das ist das Thema Bequemlichkeit vs. Sicherheit. Es soll natürlich 
sicher sein, aber der Benutzer soll trotzdem jederzeit die Möglichkeit 
haben, diese Sicherheit seiner Bequemlichkeit zu opfern.

von Bernd K. (prof7bit)


Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Sehe ich nicht so. Eine Seite, die mit einem Zertifikat verschlüsselt
> ist, dessen Gültigkeit entzogen wurde, ist schlechter als eine Seite,
> die gar nicht verschlüsselt ist.

Dennoch gibt es keinen Grund dem Nutzer dann das Lesen der (potentiell 
gefälschten) Daten willkürlich komplett zu verwehren, derjenige dem man 
gefälschte Informationen unterschieben will hat alles Recht der Welt zu 
erfahren WAS genau man ihm denn nun (vermeintlich oder nicht) 
unterschieben wollte.

Es reicht die Daten mit einer wahrheitsgetreuen Warnung zu kennzeichnen 
und dann dem Nutzer so zugänglich zu machen wie sie sind. Wir sind doch 
nicht im Kindergarten!

: Bearbeitet durch User
von Niemand (Gast)


Bewertung
-3 lesenswert
nicht lesenswert
Bernd K. meinte

> Es reicht die Daten mit einer wahrheitsgetreuen Warnung zu kennzeichnen
> und dann dem Nutzer so zugänglich zu machen wie sie sind.
das war mal vor Kurzem oder vor längerer Zeit so!
> Wir sind doch nicht im Kindergarten!
Du kannst dich ja gern mal mit MS oder Mozilla versuchen deswegen 
anzulegen, mal sehen wer dich dann wie bezeichnet.

Der Firefox ist schon technisch ein Problem ohne Grenzen, so viele 
Abstürze wegen irgendwelchem Programmiererquark hatte ich mein ganzes 
Leben noch nicht wie seit letztem Jahr.
Also bau dir deinen eigenen Browser und motz nicht über kostenlose 
Freeware rum!

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Kaj schrieb:
> Es hindert euch nichts daran, euch mit Qt selber einen minimal Browser
> zu bauen. Dauert mit Python und PyQt nicht mal ne Stunde. Der
> interessiert sich dann auch einen scheiss fuer Zertifikate.
Es hindert einen auch niemand daran, einen besseren Browser zu 
verwenden. Die Diskussion geht nicht um Alternativen, sondern dass 
Firefox in dem Zusammenhang einfach Mist macht.

Bernd K. schrieb:
> Ein durchgestrichenes Schloss in der Adresszeile wäre bei Weitem genug.
Das sehe ich nicht so. Wer achtet ständig auf die Adresszeile?
Bei Safari kommt eine Meldung, dass das Zertifikat nicht gültig ist. Bei 
einem Browser, es kann Firefox gewesen sein, wurde die Seite nicht 
angezeigt, dann konnte man in der Adressleiste auf Optionen gehen und da 
den Zugriff auf die Seite zulassen. Das erfordert genug 
Hintergrundwissen, dass nicht jeder 'ich will doch nur Texte schreiben 
und ins Internet gehen'-Nutzer das einfach wegklickt, aber es ermöglicht 
fortgeschrittenen Benutzern, die Seite trotzdem zu besuchen.

von Fritz G. (fritzg)


Bewertung
-3 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Bei iGeräten
> darf man ja nichtmals beliebige Software auf das eigene Gerät spielen.

Dann nimm doch Android. Da darfst du dir jede Virenschleuder und 
jeglichen Trojaner installieren.

von Da D. (dieter)


Bewertung
0 lesenswert
nicht lesenswert
Fritz G. schrieb:
> Dann nimm doch Android. Da darfst du dir jede Virenschleuder und
> jeglichen Trojaner installieren.

Ich würde dir empfehlen, niemals vor die Tür zu gehen. Da kann man über 
rote Ampel gehen, vor Autos rennen, sich von Brücken stürzen, etc. So 
viel Freiheit müsste eigentlich jedem klar denkenden Menschen verboten 
sein!

Disclaimer: Jegliche parallelen zu deiner heilen Appelwelt sind rein 
zufällig...

: Bearbeitet durch User
von alleg (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Die Webseite ist scheisse. SSL ohne vernünftiges Zertifikat.
Wie kann man sich da über den Browser aufregen?

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
alleg schrieb:
> Die Webseite ist scheisse. SSL ohne vernünftiges Zertifikat.
> Wie kann man sich da über den Browser aufregen?
Kann ja sein, aber nur weil etwas 'scheisse' ist, heißt das nicht, dass 
etwas anderes nicht auch 'scheisse' sein kann. In dem Fall sind es halt 
beide.

von oszi40 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> In dem Fall sind es halt beide.

Es ist ein "kleiner" Unterschied ob man Millionen FF-User automatisch 
vor Bösartigkeiten schützt oder ob ein Seitenbetreiber zu faul, zu 
geizig, böse oder tot ist und deshalb kein gültiges Zertifikat hat.

Wäre eine Meldung "Wollen Sie einem Virus vertrauen" Dir angenehmer?

von Dussel (Gast)


Bewertung
2 lesenswert
nicht lesenswert
oszi40 schrieb:
> Wäre eine Meldung "Wollen Sie einem Virus vertrauen" Dir angenehmer?
Der Vergleiche passt hier nicht. Ein Virus ist in den meisten Fällen ein 
Schadprogramm, eine Seite ohne gültiges Zertifikat ist in den meisten 
Fällen nicht schädlich.
Trotzdem ist es mir lieber, wenn ein Antivirenprogramm mir die 
Möglichkeit gibt, den 'Virus' trotzdem zu installieren, als zu sagen 
'Ich denke, das ist ein Virus, ich lasse nicht zu, dass du das 
installierst'.

Mich hat mal ein Antivirenprogramm vor einem von mir selber 
geschriebenen Programm gewarnt. Ich wusste, dass es von mir kommt und 
nichts Schädliches macht, also habe ich eine Ausnahme hinzugefügt. Das 
war kein Problem. Hätte mich das Antivirenprogramm unabwendbar 
gehindert, mein Programm auszuführen, hätte ich mich wohl ziemlich 
geärgert.


Ich finde es übrigens erstaunlich, dass die Diskussion so sachlich 
abläuft. Das hätte ich erfahrungsgemäß nicht erwartet. :-)

von Ralf D. (doeblitz)


Bewertung
1 lesenswert
nicht lesenswert
Dussel schrieb:
> oszi40 schrieb:
>> Wäre eine Meldung "Wollen Sie einem Virus vertrauen" Dir angenehmer?
> Der Vergleiche passt hier nicht. Ein Virus ist in den meisten Fällen ein
> Schadprogramm, eine Seite ohne gültiges Zertifikat ist in den meisten
> Fällen nicht schädlich.

Es ist hier aber nicht einfach ein "nicht gültiges" Zertifikat, sondern 
eines, das als zurückgezogen in einer Sperrliste steht.

Und dass dafür im Fx im Gegensatz zu Zertifikaten mit harmloseren 
Problemen (z.B. außerhalb des Gültigkeitszeitraums) dem User keine 
Ausnahmemöglichkeit eingeräumt wird ist sinnvoll: Wenn ein Zertifikat 
zurückgezogen wird (üblicherweise weil es kompromittiert ist), dann soll 
ja gerade sichergestellt werden, dass unabhängig von der bisherigen 
Akzeptanz des Zertfikats es ab jetzt nicht mehr akzeptiert wird. 
Ausnahmen hiervon müßte man also getrennt verwalten. Dass sich für diese 
IMNSHO widersinnige Maßnahme wohl niemand den Entwicklungsaufwand antun 
will, ist gut nachvollziehbar.

von Gerd E. (robberknight)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> oszi40 schrieb:
>> Wäre eine Meldung "Wollen Sie einem Virus vertrauen" Dir angenehmer?
> Der Vergleiche passt hier nicht. Ein Virus ist in den meisten Fällen ein
> Schadprogramm, eine Seite ohne gültiges Zertifikat ist in den meisten
> Fällen nicht schädlich.

Der Vergleich passt auch nicht: die Seite ist nicht ohne gültiges 
Zertifikat, sondern sie hat ein Zertifikat, welches zurückgezogen wurde.

Das ist ein ganz sigifikanter Unterschied.

Auch bei nem aktuellen Firefox kannst Du problemlos ein selbstsigniertes 
Zertifikat in die Ausnahmeliste hinzufügen und dann die Seite öffnen.

Nur bei Seiten, bei denen das Zertifikat zurückgezogen wurde, geht das 
wohl nicht mehr. Das kann ich auch verstehen, denn hier kann der Browser 
davon ausgehen, daß da wirklich was faul ist. In diesem Fall ist eben 
bei der StartSSL-CA was faul.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ralf D. schrieb:
> Es ist hier aber nicht einfach ein "nicht gültiges" Zertifikat, sondern
> eines, das als zurückgezogen in einer Sperrliste steht.
Gerd E. schrieb:
> die Seite ist nicht ohne gültiges
> Zertifikat, sondern sie hat ein Zertifikat, welches zurückgezogen wurde.
Ja, weil es eben nicht 99,999% sicher ist, sondern nur noch 95%. Das ist 
immer noch bei weitem nicht schädlich.
Bisher gab es hier noch keine Beschwerden über diese Seite im Hinblick 
auf Schaden. Das muss nichts heißen, aber ich gehe mal stark davon aus, 
dass die Seite nicht schädlich ist. Hat Frank jetzt gerade die 
Ausnahmeseite gefunden, die trotz zurückgezogenen Zertifikats nicht 
schädlich ist? Es ist wohl viel eher so, dass die meisten Seiten trotz 
zurückgezogenen Zertifikats nicht schädlich sind.
Dem jetzigen Anschein nach hat Firefox ohne vernünftigen Grund eine 
Seite blockiert. Und das ist einfach Mist.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Dem jetzigen Anschein nach hat Firefox ohne vernünftigen Grund eine
> Seite blockiert.

Der vernünftige Grund wurde mehrfach genannt.
StartCom ist nicht vertrauenswürdig.
Der Seitenbetreiber ist am Zug eine vertrauenswürdige CA zu verwenden, 
oder auf HTTP zu wechseln, wenn ihn Sicherheit sowieso nicht 
interessiert.

von Alf (Gast)


Bewertung
-3 lesenswert
nicht lesenswert
Manche Seitenbetreiber bauen absichtlich Intelligenztests ein damit 
nicht jeder Dödel ihre Dateien runterläd. Und wie man in diesem Thread 
sieht, haben auch hier viele Leute den Intelligenztest nicht bestanden.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Dussel schrieb:
>> Dem jetzigen Anschein nach hat Firefox ohne vernünftigen Grund eine
>> Seite blockiert.
>
> Der vernünftige Grund wurde mehrfach genannt.
> StartCom ist nicht vertrauenswürdig.
Für den Inhalt der Seite hat das Zertifikat keine Bedeutung.
Wenn Firefox die Seitenanbieter ärgern würde, von mir aus, aber der 
Nutzer hat nichts falsch gemacht und kann auch nichts ändern.

Dussel schrieb:
> Ich finde es übrigens erstaunlich, dass die Diskussion so sachlich
> abläuft. Das hätte ich erfahrungsgemäß nicht erwartet. :-)
Und schon haben wir den ersten Verlierer:
Alf schrieb:
> Manche Seitenbetreiber bauen absichtlich Intelligenztests ein damit
> nicht jeder Dödel ihre Dateien runterläd. Und wie man in diesem Thread
> sieht, haben auch hier viele Leute den Intelligenztest nicht bestanden.

von MaWin (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Dussel schrieb:
> Für den Inhalt der Seite hat das Zertifikat keine Bedeutung.

Selbstverständlich hat es das. Es sichert den Inhalt ab. In Sinne von 
Authentifizierung und Verschlüsselung.
Das ist der einzige Zweck. Was denn sonst?

> aber der Nutzer hat nichts falsch gemacht und kann auch nichts ändern.

Das ist richtig. Den Fehler macht der Seitenbetreiber.
Und ihm ist Geschäft wohl egal, sonst würde er schnellstmöglich das 
Problem beseitigen.
Offensichtlich ist also auch der Seitenbetreiber nicht besonders 
vertrauenswürdig.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Selbstverständlich hat es das. Es sichert den Inhalt ab.
Der Inhalt kann aber offensichtlich auch ungesichert problemlos 
übertragen werden (Beweis: andere Browser schaffen das).

von Alf (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Dussel schrieb:
> Und schon haben wir den ersten Verlierer:

Wer ist der Verlierer? Derjenige der zu blöde ist eine Datei 
herunterzuladen auch wenn ein Zertifikat nicht stimmt und nicht 
entscheiden kann ob das im konketen Fall ein Sicherheitsproblem ist? 
Zumal Das "Problem" hier bei mikrocontroller.net ja nicht zum ersten mal 
diskutiert wurde. Wenn man also schon an so banalen Dingen scheitert, 
hätte man zumindest mal die Suchfunktion benutzen können.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Und ihm ist Geschäft wohl egal, sonst würde er schnellstmöglich das
> Problem beseitigen.
Was heißt Geschäft? Auf der hier nachgefragten Seite ja, aber es werden 
sicher auch andere, nicht geschäftliche Seiten blockiert.
Theoretisches Beispiel: Ich stelle meine Reiseberichte ins Internet, 
damit andere schonmal einen Überblick haben, was sich lohnt und was 
nicht. Dafür besorge ich mir ein Zertifikat. Das wird irgendwann 
ungültig. Mir ist das egal. Dem Nutzer vielleicht auch. Wenn er will, 
kann er meine Tipps lesen, sonst lässt er es halt. Da haben beide Seiten 
kein Problem mit. Jetzt kommt Firefox und sagt: 'Nein, du darfst die 
Reiseberichte nicht lesen.' Mir ist es egal, der Nutzer will die Tipps 
haben und bekommt sie jetzt nicht mehr.

Das Argument ist ja anscheinend, dass die Seite nicht vertrauenswürdig 
ist. Ist keine http-Seite vertrauenswürdig? Müssen die dann alle 
gesperrt werden? Ist das Internet zusammengebrochen, als kaum eine Seite 
https (oder andere Authentifizierung) angeboten hat?

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Ralf D. schrieb:
>> Es ist hier aber nicht einfach ein "nicht gültiges" Zertifikat, sondern
>> eines, das als zurückgezogen in einer Sperrliste steht.
> Gerd E. schrieb:
>> die Seite ist nicht ohne gültiges
>> Zertifikat, sondern sie hat ein Zertifikat, welches zurückgezogen wurde.
> Ja, weil es eben nicht 99,999% sicher ist, sondern nur noch 95%. Das ist
> immer noch bei weitem nicht schädlich.

Aha, aus welchem Finger hast du dir die Zahlen jetzt gesaugt? Und was 
heißt überhaupt "95% sicher"? Dass 5% der Aufrufe der Webseite Schaden 
verursachen?

> Bisher gab es hier noch keine Beschwerden über diese Seite im Hinblick
> auf Schaden. Das muss nichts heißen, aber ich gehe mal stark davon aus,
> dass die Seite nicht schädlich ist.

Es geht nicht darum, dass die Seite schädlich wäre, sondern darum, dass 
die Verschlüsselung nicht sicher ist, also andere möglicherweise 
Anfragen, Antwort und Passwörter mitlesen können.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Dussel schrieb:
>> Ralf D. schrieb:
>>> Es ist hier aber nicht einfach ein "nicht gültiges" Zertifikat, sondern
>>> eines, das als zurückgezogen in einer Sperrliste steht.
>> Gerd E. schrieb:
>>> die Seite ist nicht ohne gültiges
>>> Zertifikat, sondern sie hat ein Zertifikat, welches zurückgezogen wurde.
>> Ja, weil es eben nicht 99,999% sicher ist, sondern nur noch 95%. Das ist
>> immer noch bei weitem nicht schädlich.
>
> Aha, aus welchem Finger hast du dir die Zahlen jetzt gesaugt? Und was
> heißt überhaupt "95% sicher"? Dass 5% der Aufrufe der Webseite Schaden
> verursachen?
Das waren nur Beispielzahlen. Die meisten normalen auffindbaren Seiten 
sind sicher, würde ich mal sagen.

Rolf M. schrieb:
>> Bisher gab es hier noch keine Beschwerden über diese Seite im Hinblick
>> auf Schaden. Das muss nichts heißen, aber ich gehe mal stark davon aus,
>> dass die Seite nicht schädlich ist.
>
> Es geht nicht darum, dass die Seite schädlich wäre, sondern darum, dass
> die Verschlüsselung nicht sicher ist, also andere möglicherweise
> Anfragen, Antwort und Passwörter mitlesen können.
Und, was hat das für eine Relevanz, wenn ich Informationen bekommen 
will? Jemand liest mit, dass ich gerade einen Beitrag in 
mikrocontroller.net, Thema "Software Download benötigt - Browser weigert 
sich" schreibe. Wo siehst du da das Problem? Ich habe hier nirgendwo ein 
Passwort oder irgendwelche geheimen Informationen eingegeben.

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Mozilla und Google
> haben nur darauf eine drastische, aber richtige Reaktion gebracht.

Hat mit Mozilla nichts zu tun. In SeaMonkey wird die Seite geöffnet und 
ein Zertifikat von StartCom Ltd. angezeigt. Bei
https://www.mikrocontroller.net/ eben eines von thawte, Inc.
Es scheint sich um die Jungs bei Firefox zu drehen - nicht um den 
generellen Unterbau.

: Bearbeitet durch User
von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Dafür besorge ich mir ein Zertifikat. Das wird irgendwann
> ungültig. Mir ist das egal.

Das ergibt keinen Sinn.
Überhaupt keinen.
Denk mal darüber nach.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Der Inhalt kann aber offensichtlich auch ungesichert problemlos
> übertragen werden

Und wie stellst du fest, dass dies "problemlos" geschah, wenn die CA 
nicht vertrauenswürdig ist?

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Und, was hat das für eine Relevanz, wenn ich Informationen bekommen
> will? Jemand liest mit, dass ich gerade einen Beitrag in
> mikrocontroller.net, Thema "Software Download benötigt - Browser weigert
> sich" schreibe. Wo siehst du da das Problem?

Es geht hier um einen Sofwaredownload.
Wenn dieser unverschlüsselt und vor allem unauthentifiziert übertragen 
wird, ist die Echtheit nicht gewährleistet. Wie schützt du dich vor 
Viren und Trojanern, die auf dem Transportweg eingeschleust wurden?
Genau. Firefox schützt dich hier davor.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Dussel schrieb:
>> Dafür besorge ich mir ein Zertifikat. Das wird irgendwann
>> ungültig. Mir ist das egal.
>
> Das ergibt keinen Sinn.
> Überhaupt keinen.
> Denk mal darüber nach.
Warum sollte das keinen Sinn ergeben?

MaWin schrieb:
> Dussel schrieb:
>> Der Inhalt kann aber offensichtlich auch ungesichert problemlos
>> übertragen werden
>
> Und wie stellst du fest, dass dies "problemlos" geschah, wenn die CA
> nicht vertrauenswürdig ist?
Wenn mir die Seite angezeigt wird, wurden wohl Daten übertragen und wenn 
die noch sinnvoll sind, wohl auch ohne große Probleme. Ich weiß nur 
nicht, ob die Seiten von dem Anbieter kommen. Dann ist halt der 
beispielhafte Urlaubsbericht falsch. Was macht das jetzt?

MaWin schrieb:
> Es geht hier um einen Sofwaredownload.
Das heißt also, Firefox sperrt nur Seiten mit abgelaufenem Zertifikat, 
auf denen Downloads angeboten werden? Und nicht vielleicht eher doch 
ausnahmslos alle Seiten mit entsprechend fehlerhaftem Zertifikat.

MaWin schrieb:
> Wie schützt du dich vor
> Viren und Trojanern, die auf dem Transportweg eingeschleust wurden?
Daran habe ich auch gedacht. Dem hat aber Rolf widersprochen:
Rolf M. schrieb:
> Es geht nicht darum, dass die Seite schädlich wäre, sondern darum, dass
> die Verschlüsselung nicht sicher ist, also andere möglicherweise
> Anfragen, Antwort und Passwörter mitlesen können.
Selbst ohne Downloadangebot könnten Viren eingeschleust werden. Wie 
meines Wissens bei jeder http-Verbindung. Trotzdem werden http-Seiten 
nicht gesperrt.

von Kaj (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Trotzdem werden http-Seiten
> nicht gesperrt.
Du willst es nicht verstehen, oder?
HTTP: ungesichert
HTTPS: gesichert

Wenn jetzt der Schluessel/das Zertifikat fuer die HTTPS-Verbindung nicht 
mehr als sicher angesehen wird, wird die Seite blockiert, weil diese 
Verbindung nicht mehr als sicher betrachtet werden kann.
Die Verbindung sollte aber sicher sein, leider kann man dem 
Schluesselhersteller nicht mehr trauen.
Seite wird blockiert, weil gesagt wird, dass die Vebindung sicher ist, 
was aber mittlerweile anders eingestuft wird.

Du argumentierst hier gerade, dass es okay ist, ein Schloss in deine 
Wohnungstuer einzubauen, fuer das der Schluessel abhanden gekommen ist, 
mit der Begruendung:
Wird schon nichts passieren. Wohnungen ohne Tuerschloss sind ja auch 
unsicher.

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Und, was hat das für eine Relevanz, wenn ich Informationen bekommen
> will? Jemand liest mit, dass ich gerade einen Beitrag in
> mikrocontroller.net, Thema "Software Download benötigt - Browser weigert
> sich" schreibe. Wo siehst du da das Problem? Ich habe hier nirgendwo ein
> Passwort oder irgendwelche geheimen Informationen eingegeben.

Nun gut, dann stellt sich allerdings die Frage, wozu dann überhaupt 
SSL-verschlüsseln? Entweder ich will die Sicherheit der Verschlüsselung 
haben, dann aber auch richtig und nicht ausgehebelt, oder sie ist 
unnötig, dann lässt man das einfach ganz weg.

Dussel schrieb:
> MaWin schrieb:
>> Es geht hier um einen Sofwaredownload.
> Das heißt also, Firefox sperrt nur Seiten mit abgelaufenem Zertifikat,
> auf denen Downloads angeboten werden?

NEIN! Firefox sperrt Seiten mit zurückgezogenen Zertifikaten. 
Abgelaufene und selbst signierte zwar per default auch, aber dafür kann 
der Benutzer eine Ausnahme hinzufügen. Der Unterschied ist, dass ein 
Zertifikat nicht unsicher sein muss, nur weil es abgelaufen ist. Ein 
zurückgezogenes dagegen wurde explizit für unsicher befunden. Deshalb 
wurde es ja zurückgezogen.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Kaj schrieb:
> Du argumentierst hier gerade, dass es okay ist, ein Schloss in deine
> Wohnungstuer einzubauen, fuer das der Schluessel abhanden gekommen ist,
> mit der Begruendung:
> Wird schon nichts passieren. Wohnungen ohne Tuerschloss sind ja auch
> unsicher.
Nicht in meine Wohnungstür. Aber zum Beispiel in mein Gartenhaus, in dem 
ein paar Bretter und ein paar alte Stühle sind.
Willst du mir jetzt verbieten, mein Gartenhaus offenstehen zu lassen, 
wenn die Tür ein Schloss hat? Denn eine Tür mit Schloss sollte sicher 
sein, ist sie aber nicht mehr, wenn sie offen steht.

von Dussel (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Dussel schrieb:
>> Und, was hat das für eine Relevanz, wenn ich Informationen bekommen
>> will? Jemand liest mit, dass ich gerade einen Beitrag in
>> mikrocontroller.net, Thema "Software Download benötigt - Browser weigert
>> sich" schreibe. Wo siehst du da das Problem? Ich habe hier nirgendwo ein
>> Passwort oder irgendwelche geheimen Informationen eingegeben.
>
> Nun gut, dann stellt sich allerdings die Frage, wozu dann überhaupt
> SSL-verschlüsseln? Entweder ich will die Sicherheit der Verschlüsselung
> haben, dann aber auch richtig und nicht ausgehebelt, oder sie ist
> unnötig, dann lässt man das einfach ganz weg.
Vielleicht hat jemand im ersten Enthusiasmus einen https-fähigen Server 
eingerichtet und dann irgendwann gemerkt, dass sich der Wartungsaufwand 
für die Urlaubsberichte nicht lohnt.

Rolf M. schrieb:
> Dussel schrieb:
>> MaWin schrieb:
>>> Es geht hier um einen Sofwaredownload.
>> Das heißt also, Firefox sperrt nur Seiten mit abgelaufenem Zertifikat,
>> auf denen Downloads angeboten werden?
>
> NEIN! Firefox sperrt Seiten mit zurückgezogenen Zertifikaten.
> Abgelaufene und selbst signierte zwar per default auch, aber dafür kann
> der Benutzer eine Ausnahme hinzufügen. Der Unterschied ist, dass ein
> Zertifikat nicht unsicher sein muss, nur weil es abgelaufen ist. Ein
> zurückgezogenes dagegen wurde explizit für unsicher befunden. Deshalb
> wurde es ja zurückgezogen.
Ist es technisch unsicherer als eine ungesicherte (http) Verbindung? 
Wenn ja, inwiefern? (nicht 'weil der Benutzer denkt, es wäre sicher'. 
Das tut er spätestens nach der Warnung nicht mehr) Wenn nein, wo ist 
dann da speziell das Problem.
So wie ich das hier verstanden habe, wurde das Zertifikat zurückgezogen, 
weil seine Sicherheit nicht garantiert werden kann. Also genauso wie bei 
http.
Etwas anderes wäre, wenn das Zertifikat zurückgezogen worden wäre, weil 
es in nennenswertem Umfang für Schaden missbraucht wurde. Das scheint 
aber hier nicht der Fall gewesen zu sein.

von bluppdidupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Trotzdem werden http-Seiten
> nicht gesperrt.

Das dürfte nur eine Frage der Zeit sein.
Erste Schritte in die Richtung gibt es ja quasi schon:
https://threatpost.com/chrome-to-label-some-http-sites-not-secure-in-2017/120452/

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Warum sollte das keinen Sinn ergeben?

Warum verwendest du TLS, wenn es dir egal ist? Warum verwendest du dann 
nicht direkt unverschlüsseltes HTTP? Das hätte den gleichen Zweck.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Ist es technisch unsicherer als eine ungesicherte (http) Verbindung?

Ja. Denn das Zertifikat wurde EXPLIZIT als nicht vertrauenswürdig 
markiert.
Du weißt also sicher, im Gegensatz zur HTTP-Verbindung, dass etwas nicht 
stimmt.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> So wie ich das hier verstanden habe, wurde das Zertifikat zurückgezogen,
> weil seine Sicherheit nicht garantiert werden kann.

Das hast du leider falsch verstanden. Es wurde zurückgezogen, weil die 
CA mit Gaunern zusammenarbeit, um es mal platt auszudrücken.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Dussel schrieb:
>> Ist es technisch unsicherer als eine ungesicherte (http) Verbindung?
>
> Ja. Denn das Zertifikat wurde EXPLIZIT als nicht vertrauenswürdig
> markiert.
> Du weißt also sicher, im Gegensatz zur HTTP-Verbindung, dass etwas nicht
> stimmt.
Ich gehe von dem Beitrag aus:
IstSchonGutSo schrieb:
> Naja, StartCom halt. Der CA ist bei vielen Browsern rausgeflogen (aus
> gutem Grund!)
>
> siehe hier:
>
> 
https://www.heise.de/security/meldung/Zertifikats-Schmu-bei-WoSign-und-StartCom-Mozilla-macht-Ernst-3361574.html

Demzufolge ist das Zertifikat nicht 'misstrauenswürdig'. Es gibt eine 
Lücke zwischen Vertrauen und Misstrauen. Es stimmt, dass man dem 
Zertifikat nicht mehr vertrauen kann. Das heißt aber nicht, dass es 
einen Grund gibt, ihm zu misstrauen. Ich kann aus dem Text nicht 
entnehmen, dass diese Zertifikate in nennenswertem Umfang missbraucht 
wurden. Und damit stehen wir wieder beim Vergleich mit http.

von Rolf M. (rmagnus)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Ist es technisch unsicherer als eine ungesicherte (http) Verbindung?
> Wenn ja, inwiefern? (nicht 'weil der Benutzer denkt, es wäre sicher'.
> Das tut er spätestens nach der Warnung nicht mehr) Wenn nein, wo ist
> dann da speziell das Problem.

Es führt die ganze Idee hinter https ad absurdum. Das ist dann so, als 
ob du dir kunstvoll in dein Gartenhäuschen eine Sicherheitstür mit 
Spezialschloss einbaust, nur um diese dann immer offen stehen zu lassen. 
Dann kannst du dir den Aufwand sparen und die Tür einfach ganz 
weglassen.

von Matthias L. (limbachnet)


Bewertung
0 lesenswert
nicht lesenswert
Der Übertragungsweg und der Seiteninhalt sind zwei verschiedene Paar 
Schuhe, deshalb diskutiert ihr teilweise aneinander vorbei.

Das Zertifikat der Seite für die Übertragung per gesichertem HTTPS 
schützt den Übertragungsweg. Damit wird sichergestellt, dass dem User 
genau die Daten übermittelt werden, die der Seitenbetreiber auch zum 
Abruf bereitgestellt hat - das können seriöse Daten sein, das kann aber 
auch ein ganzer Zoo von Viren, Würmern und sonstiem Getier sein, das ist 
der CA ziemlich wurscht.

Wenn die Übertragung ungesichert ist (HTTP ohne S), kann ein Angreifer 
den Übertragungsweg kapern und anstelle der vom Seitenbetreiber 
angebotenen Daten etwas Anderes ausliefern. In der Regel werden dabei 
seriöse Daten durch verseuchte ersetzt, aber falls der Seitenbetreiber 
schon selbst eine Virenschleuder betreibt, wird dabei nur der Teufel vom 
Beezebub vertreten...

Und wenn die HTTPS-Übertragung auf einem zurückgezogenen Zertifikat 
beruht, dann ist die eigentlich mal gesichert geplante Übertragung jetzt 
eben ungesichert, also fast genau so, als wenn das ungesichertes HTTP 
wäre. Der Unterschied zu ungesichertem HTTP ist, dass eine Sicherheit 
vogegaukelt wird, die nicht gegeben ist - ein (gerne auch 
nachdrücklicher) Hinweis beim Seitenaufruf ist daher schon angezeigt.

Die komplette Verweigerung des Seiteninhalts finde ich daher auch 
übertrieben. Der Seitenbetreiber beweist durch die Verwendung eines 
zurückgezogenen Zertifikats, dass er eine Schnarchnase ist, die sich um 
die einmal erstellte Seite nicht mehr kümmert - aber ob die 
bereitgestellten Seiteninhalte seriös oder Virenschleudern sind, ist 
davon völlig unabhängig.

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Dussel schrieb:
>> Ist es technisch unsicherer als eine ungesicherte (http) Verbindung?
>> Wenn ja, inwiefern? (nicht 'weil der Benutzer denkt, es wäre sicher'.
>> Das tut er spätestens nach der Warnung nicht mehr) Wenn nein, wo ist
>> dann da speziell das Problem.
>
> Es führt die ganze Idee hinter https ad absurdum. Das ist dann so, als
> ob du dir kunstvoll in dein Gartenhäuschen eine Sicherheitstür mit
> Spezialschloss einbaust, nur um diese dann immer offen stehen zu lassen.
> Dann kannst du dir den Aufwand sparen und die Tür einfach ganz
> weglassen.
Ja, kann ich. Ich habe eine Sicherheitstür mit Spezialschloss eingebaut 
und dann gemerkt, dass ich da drin doch nicht mein Motorrad, sondern nur 
Werkstoffreste lagere und es sich dafür nicht lohnt, ständig den 
Schlüssel mitnehmen zu müssen. Dann werde ich das weder aus Prinzip doch 
tun, noch die Tür wieder ausbauen. Dann steht sie halt offen und es ist 
meine Entscheidung.

Matthias L. schrieb:
> Und wenn die HTTPS-Übertragung auf einem zurückgezogenen Zertifikat
> beruht, dann ist die eigentlich mal gesichert geplante Übertragung jetzt
> eben ungesichert, also fast genau so, als wenn das ungesichertes HTTP
> wäre. Der Unterschied zu ungesichertem HTTP ist, dass eine Sicherheit
> vogegaukelt wird, die nicht gegeben ist - ein (gerne auch
> nachdrücklicher) Hinweis beim Seitenaufruf ist daher schon angezeigt.
Das meine ich ja. Aber spätestens nach dem Hinweis wird keine Sicherheit 
mehr vorgegaukelt.
Der Browseranbieter kann natürlich sagen sagen 'du spielst nach unseren 
Regeln oder du darfst nicht mehr mitspielen'. Und genau dieses Verhalten 
kritisiere ich.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Matthias L. schrieb:
> Und wenn die HTTPS-Übertragung auf einem zurückgezogenen Zertifikat
> beruht, dann ist die eigentlich mal gesichert geplante Übertragung jetzt
> eben ungesichert, also fast genau so, als wenn das ungesichertes HTTP
> wäre.

Nein. Der Unterschied ist, dass das Zertifikat aktiv und explizit 
zurückgezogen wurde.
Das ist eine völlig andere Aussage als "unverschlüsselt, man weiß es 
halt nicht".

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Außerdem ist es natürlich auch mit Firefox möglich die Seite zu 
besuchen, indem man das zurückgezogene Zertifikat entfernt.
Ganz logisch.

von Matthias L. (limbachnet)


Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> Das ist eine völlig andere Aussage als "unverschlüsselt, man weiß es
> halt nicht".

Das "fast" in meinem Satz war zu klein geschrieben?

MaWin schrieb:
> Außerdem ist es natürlich auch mit Firefox möglich die Seite zu
> besuchen, indem man das zurückgezogene Zertifikat entfernt.
> Ganz logisch.

Das ist hingegen ein nützlicher Hinweis!

von Kaj (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Dussel schrieb:
> Demzufolge ist das Zertifikat nicht 'misstrauenswürdig'. Es gibt eine
> Lücke zwischen Vertrauen und Misstrauen.
Nein, da gibt es keine Luecke.
Entweder ich kann dem Zertifikat vertrauen, oder nicht.
Kein Vetrauen = Misstrauen

Es gibt an dieser Stelle nur "schwanger" oder "nicht schwanger",
"ein bisschen schwanger" gibt es nicht!

Wie nennst du das denn, wenn du jemandem nicht vertrauen kannst?
Entweder jemand ist vertrauenswuerdig, oder nicht.

Bei Sicherheit gibt es nur ja oder nein, ganz oder gar nicht.
"Ein bisschen sicher" ist immer noch unsicher und damit nicht sicher.

Oder andersum:
Wann ist denn deiner Meinung nach ein Zertifikat "misstrauenswuerdig"?
Und inwieweit unterscheidet sich das von einem "nicht 
vertrauenswuerdigem" Zertifikat?

von Matthias L. (limbachnet)


Bewertung
0 lesenswert
nicht lesenswert
Interessant wäre jetzt noch zu erfahren, wieso der ausdrücklich 
unsichere Übertragungsweg eine offenbar ohnehin nur selten aufgerufene 
Webseite signifikant anrüchiger machen soll.

Die CA arbeitet mit Gaunern zusammen und ist deshalb aus den 
akzeptierten Root-CA rausgekantet worden. Die Webseite ist der 
anrüchigen CA bekannt, also auch den angehängten Gaunern. Bei einer gut 
frequentierten Seite würde es sich für die Gauner lohnen, den 
Übertragungsweg anzugreifen und ihre Schädlinge einzuschleusen. Bei 
einer ohnehin selten aufgerufenen Webseite lohnt sich das eher nicht. So 
ein bisschen ressourcenoptimiert arbeiten auch die Kriminellen...

von Matthias L. (limbachnet)


Bewertung
0 lesenswert
nicht lesenswert
Kaj schrieb:
> Bei Sicherheit gibt es nur ja oder nein, ganz oder gar nicht.
> "Ein bisschen sicher" ist immer noch unsicher und damit nicht sicher

Es gibt überhaupt kein "sicher", man muss immer die Vertrauenswürdigkeit 
abwägen!

Oder woran meinst du, eine absolut sichere Quelle im Internet erkennen 
zu können?

von oszi40 (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Einfacher wäre, den Betreiber dieser Webseite zu kontaktieren und zu 
fragen. Evtl. hat er es noch nicht bemerkt, daß seine Zertifikatskette 
unterbrochen wurde? Gute Zertifikatsverwaltung ist eine mühsame 
Geschichte.

von Sascha Daniels (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das Zertifikat ist inzwischen wieder gültig.

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Sascha Daniels schrieb:
> Das Zertifikat ist inzwischen wieder gültig.

Letsencrypt.
Siehste. So einfach kann es sein. :)

von Dussel (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hat der Besitzer hier mitgelesen und das gleich behoben!? Wie nett :-)
;-)

von Sascha Daniels (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Mitgelesen nicht, es war aber einer der Teilnehmer hier so nett trotz 
Startssl Zertifikat über das Kontaktformular eine anonyme Nachricht zu 
schicken.

Vielen Dank dafür!

Drei von vier Zertifikaten waren noch gültig, weshalb ich das eine 
vergessen hatte.

von Bernd K. (prof7bit)


Bewertung
0 lesenswert
nicht lesenswert
Sascha Daniels schrieb:
> so nett trotz
> Startssl Zertifikat über das Kontaktformular eine anonyme Nachricht zu
> schicken.

Diese Nachricht könnte mit >0.001% Wahrscheinlichkeit gefälscht gewesen 
sein. Du hättest sie deshalb eigentlich gar nicht lesen können dürfen 
sollen. Wer hat Dir erlaubt die Nachricht dennoch zur Kenntnis zu 
nehmen? Und eigentlich hätte auch der Absender sie niemals absenden 
können dürfen unter diesen ungeheuerlich unsicheren Umständen, er hätte 
sie stattdessen persönlich überbringen müssen.

von bluppdidupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
https://www.ssllabs.com/ssltest/analyze.html?d=www.alternative-solution.de&hideResults=on
...es werden noch nicht alle Zwischenzertifikate vom Webserver mit 
ausgeliefert, es kann also in einigen Browsern immer noch zu SSL-Fehlern 
kommen ;D

von Bertram (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hi, da ich öfter Netzwerkverkehr als Mann der Mitte abhören muß, nutze 
ich meistens Chrome, den ich mit
--ignore-certificate-errors
starte. Damit kann ich zumindest das Certificate Pinning aushebeln. Ob 
es gegen widerrufene Zertifikate wirkt, vermag ich nicht zu sagen, aber 
die Umgehungslösung mittels Löschen und dann Vertrauen kam hier ja 
bereits.
Hier gibt es noch mehr Kommandos.
http://peter.sh/experiments/chromium-command-line-switches/

von Joachim B. (jar)


Bewertung
0 lesenswert
nicht lesenswert
Gerd E. schrieb:
> Der Vergleich passt auch nicht: die Seite ist nicht ohne gültiges
> Zertifikat, sondern sie hat ein Zertifikat, welches zurückgezogen wurde.
>
> Das ist ein ganz sigifikanter Unterschied.
>
> Auch bei nem aktuellen Firefox kannst Du problemlos ein selbstsigniertes
> Zertifikat in die Ausnahmeliste hinzufügen und dann die Seite öffnen.
>
> Nur bei Seiten, bei denen das Zertifikat zurückgezogen wurde, geht das
> wohl nicht mehr. Das kann ich auch verstehen, denn hier kann der Browser
> davon ausgehen, daß da wirklich was faul ist. In diesem Fall ist eben
> bei der StartSSL-CA was faul.

das hatte mich aber mit einem neueren FF ne ganze Weile genervt weil ich 
meine alte Fritzbox nicht mehr anrufen durfte, woher soll ich wissen wo 
man den Schalter im FF setzt, AVM hätte ja nur ein Update spendieren 
brauchen...

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.