Forum: Offtopic Sicherheit bei Behörden-Sites

Percy N. schrieb:
> Was ist da los?

Zertifikate haben die manchmal unangenehme Eigenschaft, nur begrenzte 
Zeit gültig zu sein und wenn der Admin den Ablauftermin verschläft, dann 
passiert das.

Ist es eine konkrete Seite, oder die Hauptseite?
Meine die lässt sich jedenfalls im Moment vom PC aus in Chrome 
problemlos aufrufen und das sollte die selben Zertifikatsprüfungen 
durchführen wie die Android version.

Dass Behördenseiten etwas hinterherhinken ist leider nichts neues. Darum 
kann man wohl keine durchweg mobile-friendly Seiten erwarten.
Wenn du nicht grade ein sehr kleines Handy hast, kannst du aber 
problemlos den Desktopmodus einschalten. Mit dem in Chrome habe ich so 
gut wie noch nie Darstellungsprobleme gehabt (maximal eine sehr träge 
Seite wegen vielen interaktiven Inhalten bzw. Popups).

Das Abspeichern hast du auch per Phone versucht?

Alex G. schrieb:
> Dass Behördenseiten etwas hinterherhinken ist leider nichts neues.

Behörden fühlen sich eben über alles erhaben und kommen gar nicht auf 
die Idee, dass jemand ihre Identität anzweifeln könnte. Das wäre ja 
früher® direkt als Majestätsbeleidigung verfolgt worden…

Alex G. schrieb:
> Ist es eine konkrete Seite, oder die Hauptseite?

konkret auf ein bestimmtes Dokument

> Dass Behördenseiten etwas hinterherhinken ist leider nichts neues. Darum
> kann man wohl keine durchweg mobile-friendly Seiten erwarten.
> Wenn du nicht grade ein sehr kleines Handy hast, kannst du aber

S 4 mini ...

> problemlos den Desktopmodus einschalten. Mit dem in Chrome habe ich so
> gut wie noch nie Darstellungsprobleme gehabt (maximal eine sehr träge
> Seite wegen vielen interaktiven Inhalten bzw. Popups).
>
Die Darstellung ist nicht meine Hauptsorge, auf den meisten Quatsch 
insoweit könnte ich eh verzichten. Nacktes html passt schon.
Mich beunruhigt aber, dass Chrome bei der Adresse den Teil "https" rot 
durchstrichen hat.

> Das Abspeichern hast du auch per Phone versucht?

Ja.

Danke soweit.
Ich lebe mit diesem Murks schon länger, aber so langsam hatte ich wissen 
wollen, was ihr so dazu meint - bei manchen staatsnahen Seiten könnte 
man durchaus an Datenerhebungen denken, die vom Besucher nicht 
intendiert waten ...

du bist dir sicher das du auf der echten Seite warst?
https://www.bmvi.de/DE/Home/home.html

Dort das Zertifikat ist noch die 08.10.2019 gültig und wird mir hier 
auch als gültig angezeigt.
Was wird dir als Grund für das "Ungültig" angezeigt?

Irgend W. schrieb:
> du bist dir sicher das du auf der echten Seite warst?

Das eben wäre meine Frage gewesen, aber dort gab es eigentlich nichts, 
was mich Arges denken ließ. Ich kenne das aber auch von zB statista.de, 
und zwar selbst dann, wenn ich lediglich über google ein PDF downloaden 
wollte
> https://www.bmvi.de/DE/Home/home.html
>
> Dort das Zertifikat ist noch die 08.10.2019 gültig und wird mir hier
> auch als gültig angezeigt.
> Was wird dir als Grund für das "Ungültig" angezeigt?

Hatte ich schon geschrieben: " ... konnte nicht beweisen, dass er 
bmvi.de ist ..."

Lass dir das Zertifikat mal anzeigen und gucke, was damit falsch ist.

Mögliche Ursache, wenn sonst alles in Ordnung ist: du hast bei deinem 
Telephon nie Updates gefahren, und das Cert kommt von einer CA, die noch 
nicht in der Liste auf deinem Telephon ist.

Jack V. schrieb:
> Lass dir das Zertifikat mal anzeigen und gucke, was damit falsch
> ist.
> Mögliche Ursache, wenn sonst alles in Ordnung ist: du hast bei deinem
> Telephon nie Updates gefahren, und das Cert kommt von einer CA, die noch
> nicht in der Liste auf deinem Telephon ist.

Das Seltsame ist, dass mir das bei Netzauftritten von Privaten noch 
nicht passiert ist, wimre.

Percy N. schrieb:
> Hatte ich schon geschrieben: " ... konnte nicht beweisen, dass er
> bmvi.de ist ..."

Die Meldung sagt, daß dein Smartphone zu doof ist und nicht die 
aktuellen CERT kennt.
Das übliche Drama bei Android, nie Updates für den Schrott, alle 2 Jahre 
neu kaufen.

Percy N. schrieb:
> Das Seltsame ist, dass mir das bei Netzauftritten von Privaten noch
> nicht passiert ist, wimre.

Maßgeblich ist hier halt wer hat das zugrunde liegende root-Zertifikat 
(CA, Certificate Authority) ausgestellt und ist dieser Aussteller deinem 
Browser/Betriebssystem bekannt.
Es kann schon gut sein das Netzauftritte von Privat bzw. deren Hoster 
andere Anbieter die die entsprechenden Zertifikate ausstellen bevorzugen 
als die Behördenseiten die von ganz anderen Anbietern betreut werden. 
Wenn dir hier nur ein einziges Fehlt kann es daher vorkommen das eine 
ganze Reihe von ähnlichen Seiten die Meldung ausgibt.

https://www.digicert.com/blog/official-list-trusted-root-certificates-android/

Gut möglich dass das Dokument auf einer subdomain o.ä. ist die an 
anderes Certifikat als der Rest hat. Das ist nicht so ungewöhnlich und 
manchmal werden nicht alle gleich gut gepflegt.

Ja, das ist eine gewisse Sicherheitslücke, aber man sollte schon 
überlegen ob wirklich jemand von einem solchen Angriff profitieren 
würde.
Sicherlich gibt es Behördenseiten wo das zutrifft.

Fazit:
Zumindest von meinem Smarty aus kann ich nichts dagegen tun, aber die 
Angelegenheit ist nur "vielleicht" ein bisschen gefährlich.

Danke an alle!

Tja im Browser geht es.

Der Hinweis auf die fehlenden CA-Zertifikate war schon ganz richtig.

Die entsprechende Site wurde von T-Systems zertifiziert. Hätten die 
eine CA gewählt welche in den USA üblicher ist, gäbe es dein Problem 
vielleicht nicht.

Es wird immer seltsamer.

Vorhin wollte ich ein paar Vorschriften nachschlagen.
Gesetze-im-internet.de wurde in einem Fall beanstandet, im anderen 
nicht.
Ich war beide Male über google gekommen.

Kopfkratzen führt jetzt wohl auch nicht weiter ...

Percy N. schrieb:
> Es wird immer seltsamer.
>
> Vorhin wollte ich ein paar Vorschriften nachschlagen.
> Gesetze-im-internet.de wurde in einem Fall beanstandet, im anderen
> nicht.
> Ich war beide Male über google gekommen.
>
> Kopfkratzen führt jetzt wohl auch nicht weiter ...
Bitte linke exakt die Seite mit der es Probleme gibt, damit wir prüfen 
können ob in anderen Browsern/Desktop das Problem nicht auftritt!
Damit kann man die Ursache schon deutlich besser eingrenzen.

Percy N. schrieb:
> Es wird immer seltsamer.

Vielleicht verwendet der auf Deinem Endgerät installierte Bundestrojaner 
noch veraltete Zertifikate. Wende dich an den Helpdesk vom BKA, die 
sagen ir, wie du updaten kannst. ;)