Sicherheitszertifikat

J

joneum

Guest
Ich wollte eben via https auf bsdforen.de zugreifen (ueber Win XP), und erhielt im Firefox 3 folgenden fehler:

Sichere Verbindung fehlgeschlagen

www.bsdforen.de verwendet ein ungültiges Sicherheitszertifikat.

Dem Zertifikat wird nicht vertraut, weil es selbst unterschrieben wurde.

(Fehlercode: sec_error_untrusted_issuer)


* Das könnte ein Problem mit der Konfiguartion des Servers sein, oder jemand will sich als dieser Server ausgeben.

* Wenn Sie mit diesem Server in der Vergangenheit erfolgreich Verbindungen herstellen konnten, ist der Fehler eventuell nur vorübergehend, und Sie können es später nochmals versuchen.


Oder Sie können eine Ausnahme hinzufügen…
Zum Vergrößern anklicken....

Klicke ich auf "Ausnahme hinzufügen" und lade das Zertifikat herunter, bekomme ich folgendes Fenster (siehe Screen).

Ist das nun ein fehler im Firefox 3, oder vom Zertifikat hier?
 

Anhänge

  • Zertifikat.JPG
    Zertifikat.JPG
    39,7 KB · Aufrufe: 467
Wir haben ein selbstunterschriebens Zertifikat, da ein echtes, fettes Zertifikat unser Budget leider ein wenig sprengt und irgendwelche Kiddie-Unterschreiber völlig sinnlos sind. Da die Herren vom Frickelfox, dessen Bugs mir als Admin auch immer wieder Freude machen, nie das Buch "The human interface" gelesen haben, meinten sie den Willen des Nutzers in Frage stellen zu müssen und eine weitere Sicherheitsabfrage einzubauen. Also einfach wegklicken, dann passt das schon. :)

Davon abgesehen wird BSDForen eh nie komplett verschlüsselt übertragen, das VBulletin es leider nicht hergibt HTTP und HTPPS sauber parallel zu betreiben. Es kommt zu Kollisionen, wir haben uns für HTTP in HTTPS entschieden und nicht umgekehrt, da dies für die meisten Nutzer sinnvoller ist.

Außerdem sind selbstunterschriebene Zertifikate nicht "ungültig" wie sie dort schreiben und auch keine Fehlfunktion des Servers. Sie sind ein Feature, bei dem der Client lediglich darauf hinweisen soll. Was auch sinnvoll ist. Leider wird es hier mal wieder aufgebauscht.
 
ich finde die idee im grunde genommen nicht schlecht, dass man unbedarften nutzern sowas vorlegt... leider fehlt der knopf für "nerv mich nicht mit dem scheiss, ich weiss was ich tue" bzw. ein deutlicherer hinweis, dass man dieses "feature" ausschalten kann.
wenn man sich für webmin-interfaces durch mehrere klicks pro server erstmal die zertifikate einrichten muss, nervt das schon gewaltig. da fand ich die lösung aus dem 2er wesentlich angenehmer.
 
Zuletzt bearbeitet:
Naja als Murks würde ich das jetzt nicht bezeichnen, dieses "Feature" hat sicherlich seine Daseinsberechtigung. Aber die FF-Entwickler hätten es vielleicht etwas eleganter lösen können. Ich hab beim ersten mal auch etwas blöd geguckt bis ich gesehen habe das das Zertifikat self-signed ist.

Es gibt doch auch Registrierungsstellen die diese Zertifikate kostenlos ausstellen....ist CAcert nicht sowas?
 
dieses "Feature" hat sicherlich seine Daseinsberechtigung.
Zum Vergrößern anklicken....
Immerhin ist Firefox ein OSS-Project und die Gemeinschaft hat ja dann entschieden (und zugestimmt) das jetzt so zu machen... (und das ist ja nicht ertst seit der Final vom FF3 so)

Aber die FF-Entwickler hätten es vielleicht etwas eleganter lösen können. Ich hab beim ersten mal auch etwas blöd geguckt bis ich gesehen habe das das Zertifikat self-signed ist.
Zum Vergrößern anklicken....
Warum man diese Ausnahmen jetzt nur noch dauerhaft machen kann, versteh ich allerdings nicht. Das mit alternativ temporär fand ich deutlich besser.

Und das man das jetzt einmal mehr bestätigen muss, ist ja nicht so tragisch.

Naja als Murks würde ich das jetzt nicht bezeichnen,
Zum Vergrößern anklicken....
Was ich eher als Murks empfinde... Es gibt auch genug Self-Signed Certs, die sich im FF3 gar nicht mehr installieren lassen. U.a. das von mir zuhause auf dem Testserver. Und wo sich dieses Self-Signed Cert jetzt von dem Self-Signed Cert vom bsdforum unterschiedet, hab ich noch nicht herausgefunden :-/ (oder ob das irgendwas in der Apache-Config ist)

Andere Browser haben jedenfalls kein Problem damit, dieses zu installieren, falls ich das wünsche...
 
Aber seit FF3 ist das übermäßig kompliziert (und Falsch, wobei ich sagen muss, dass ich nicht weiß wie der Text beim FF2 war) dargstellt. Wie Yamagi bereits geschildert hat ist
* Das könnte ein Problem mit der Konfiguartion des Servers sein, oder jemand will sich als dieser Server ausgeben.

* Wenn Sie mit diesem Server in der Vergangenheit erfolgreich Verbindungen herstellen konnten, ist der Fehler eventuell nur vorübergehend, und Sie können es später nochmals versuchen.
Zum Vergrößern anklicken....

einfach nur falsch. Dieses Feature hat Firefox meines Wissens schon seit FF2. Darauf hinzuweisen, dass ein Zertifikat selbstunterschrieben ist und eine Sicherheitsabfrage zu machen ist schön und gut, aber das was die da schreiben ist Quatsch und das alte Fenster war besser, schöner und einfacher. Es war genau so wie dashier nur etwas unpräzise.
 
x509 an sich ist ein riesiger, stinkender Haufen. Welchen Grund hat der User, dem Haufen CAs zu vertrauen, denen der Browser vertraut?

self-signed ist nicht schlecht. Das flößt mir mehr Vertrauen ein, als ein Zertifikat von irgendwelchen Südafrikanern, Israelis oder Amerikanern zu verwenden.
 
foobarflu schrieb:
self-signed ist nicht schlecht. Das flößt mir mehr Vertrauen ein, als ein Zertifikat von irgendwelchen Südafrikanern, Israelis oder Amerikanern zu verwenden.
Zum Vergrößern anklicken....
.. oder Deutschen. Ist doch egal, oder?

Aber man verwendet ja wenn dann auch nicht deren Zertifikat, sondern deren Signatur.

Ich hoffe, dass sich bald einer der offenen CAs durchsetzt (CAcert ist ja auf gutem Weg). Signaturen sind ja ansich nichts schlechtes.
 
Aber Tante Zilli darauf aufmerksam zu machen das die Deutsche Postbank ein self-signed Zertifikat hat und das damit etwas faul ist halte ich für richtig.

Fast jeder der Seiten benutzt/hostet welche self-signed certs benutzen weis bescheid und kann die Meldung richtig deuten. Ich fand die Funktionalität recht praktisch und kompakt, ich kann mir das Zertifikat anzeigen lassen und abspeichern und in zukunft erlauben.

PS: Simple Zertifikate gibts doch schon ab knapp 30$/Jahr, zwar ohne subdomains etc, aber ausreichend.
 
foobarflu schrieb:
x509 an sich ist ein riesiger, stinkender Haufen. Welchen Grund hat der User, dem Haufen CAs zu vertrauen, denen der Browser vertraut?

self-signed ist nicht schlecht. Das flößt mir mehr Vertrauen ein, als ein Zertifikat von irgendwelchen Südafrikanern, Israelis oder Amerikanern zu verwenden.
Zum Vergrößern anklicken....

Ihr kennt den Sinn von x509 nicht wirklich.
Self-signed Certs sind das schlimmste, da ist eine MITMA sehr einfach.
Oder schickt Ihr euren Usern ein Fingerprint über eine Sichere Telegraphen Leitung? :ugly: Und für das man keine Fingerprints vergleichen muss, dafür gibt es die Cert stellen.

Wusstet ihr, dass eine SSH Verbindung auch eine MITMA zulässt wenn
ihr die Fingerprints euren Öffentlichen Schlüssels nicht vergleicht.

ich gehe pennen. sehe kaum noch auf den Bildschrim. Aber lest
euch mal bitte in Crypthographi besser ein, und last den müll.
 
xGhost schrieb:
Ihr kennt den Sinn von x509 nicht wirklich.
Self-signed Certs sind das schlimmste, da ist eine MITMA sehr einfach.
Oder schickt Ihr euren Usern ein Fingerprint über eine Sichere Telegraphen Leitung? :ugly: Und für das man keine Fingerprints vergleichen muss, dafür gibt es die Cert stellen.

Wusstet ihr, dass eine SSH Verbindung auch eine MITMA zulässt wenn
ihr die Fingerprints euren Öffentlichen Schlüssels nicht vergleicht.

ich gehe pennen. sehe kaum noch auf den Bildschrim. Aber lest
euch mal bitte in Crypthographi besser ein, und last den müll.
Zum Vergrößern anklicken....
Du bist ja einer...
Es ist ja sicher viel sicherer immer ohne HTTPS einzuloggen, gell?
Da gibt es ja auch den Megaschutz vor einem MITMA.

Mit HTTPS muss ich genau einmal auf eine MITMA aufpassen, bzw. hat der Angreifer genau eine Chance. Bei einer unverschlüselten Leitung würde ich mir weitaus mehr Gedanken darüber machen.

Klar wäre es gut einen anderen Signator zu haben (das hat in diesem Thread auch niemand bestritten). Nur welchen soll man nehmen? Wer ist günstig und kennt sich wirklich aus?

Also gib entweder eine anständige Antwort oder lass solche Unterstellungen!
 
xGhost schrieb:
Self-signed Certs sind das schlimmste, da ist eine MITMA sehr einfach.
Oder schickt Ihr euren Usern ein Fingerprint über eine Sichere Telegraphen Leitung? :ugly: Und für das man keine Fingerprints vergleichen muss, dafür gibt es die Cert stellen.
Zum Vergrößern anklicken....

mir geht es darum, dass ich weiss, mit welchem server ich mich *hier im internen netz* verbinde, und ich somit weiss, das da niemand zwischenhängt und ich auch weiss, wie der fingerprint aussieht. ich betreibe damit keinen öffentlichen server; ansonsten würde ich schon dafür sorgen, dass die user den fingerprint mitbekommen würden und auch vergleichen können.
 
Also, um es noch einmal klarzustellen: Ich meinte oben nicht "keine Abfrage". Eine Abfrage ist dann sinnvoll, wenn der Nutzer über etwas aufgeklärt werden muss. In diesem Fall halt die Tatsache, dass hier jemand böses treiben könnte. Aber, jede Abfrage verlangt einen Knopf "Nerve mich nie wieder", der ohne weiteres diskutieren zu akzeptieren ist. Das ist hier nicht gegeben, hier ploppt das nächste Popup auf.
Tatsächlich scheint es immer mehr Mode zu werden, den Willen des Nutzers in Frage zu stellen und ihn als das dümmste Objekt zwischen hier und dem Mond zu betrachten. Kaum einer traut sich noch dem Nutzer zu vertrauen und sich zu sagen "Der Nutzer mag keine Ahnung haben, aber der Computer ist ein Werkzeug. Ein Werkzeug hat zu handeln und nicht zu diskutieren." Besonders schlimm treibt es dort das allseits beliebte Vista. Aber das ganze führt nun zu weit, wird ein umfassender Offtopic-Ranz, daher halte ich nun meine Klappe.
 
self signed stinkt. Ebenso stinkt es ein cert eines Unternehmens/Anbieters zu haben, wo das CA des Anbieters/Unternehmens nicht im Browser per default vorhanden ist, sondern erst nachinstalliert werden muss.
Warum das stinkt? Weil der normale User, das sind 99%, damit verunsichert werden. Die kennen sich damit nicht aus und wissen nicht was zu tun ist. Dann lesen die immer wieder von Abzocke beim online banking, bei ebay,..., dann ist es ganz vorbei mit dem Vertrauen. Oder aber, den meisten ist das egal. Tür und Tor sind geöffnet. Die meisten wissen ja nichtmal das da ne SSL Verbindung aufgebaut wird.
Ich kenne das mit dem Cert sehr gut, da wird gleich angerufen und gejammert was zu tun ist, oder die Leute beschweren sich.

Dann war da noch Class1, 2 und 3. Die wenigsten kennen den Unterschied hier, und der ist wichtig.

Nur ab Class 2 kann man davon ausgehen das sich derjenige, der sich das Cert von einem Anbieter/Unternehmen geholt hat, sich diesem gegenüber auch ausgewiesen hat. Alles andere ist foobar.
 
@Yamagi: Ich verstehe dein Prob nicht, man kann die Ausnahme doch hinzufügen! Ich bin immer mit https auf bsdforen.de und das ohne Abfrage, einmal die Ausnahme hinzugefügt, kein Prob mehr.
 
xcvb schrieb:
Es gibt doch auch Registrierungsstellen die diese Zertifikate kostenlos ausstellen....ist CAcert nicht sowas?
Zum Vergrößern anklicken....
Jein. CACert ist ein offenes WoT für X.509-Zertifikate. Deren Stamm-Zertifikat (CA) wird aber (leider) mit keinem gängigen Browser ausgeliefert und müsste erst manuell importiert werden.

Es gibt auch eine CA, die kostenfreie Zertifikate herausgibt, deren Root-Zertifikat zumindest bei Mozilla-Produkten bereits mit ausgeliefert wird. Allerdings steht dahinter nicht dasselbe offene Community-Modell wie bei CACert. Link: http://cert.startcom.org/index.php?lang=de
 
asg schrieb:
self signed stinkt.
Zum Vergrößern anklicken....
Die root-certs der CAs sind self-signed. Stinken die auch?

Ich kenne das mit dem Cert sehr gut, da wird gleich angerufen und gejammert was zu tun ist, oder die Leute beschweren sich.
Zum Vergrößern anklicken....
x509 ist bequem. Der User braucht wenig zu denken.

Dann war da noch Class1, 2 und 3. Die wenigsten kennen den Unterschied hier, und der ist wichtig.
Zum Vergrößern anklicken....
Man muss mehr blechen? :-)

Nur ab Class 2 kann man davon ausgehen das sich derjenige, der sich das Cert von einem Anbieter/Unternehmen geholt hat, sich diesem gegenüber auch ausgewiesen hat. Alles andere ist foobar.
Zum Vergrößern anklicken....
Es ist foobar, wenn man einen wie-auch-immer-gearteten out-of-band check durchführt? Gut, das ist Aufwand und skaliert per Telefon nicht.

"opportunistic cryptography" ist nicht wirklich schlechter als das Vertrauen in eine ziemlich willkürliche Ansammlung von CAs. Es hat den Vorteil, dass man eben keine Trusted Third Party hat, die auf einmal böse werden kann.
 
@FreeBSDuser
Es ging mir hier nicht um Firefox speziell. Es geht darum, dass immer mehr Leute absolut behämmerte Nutzerschnittstellen bauen, weil sie über die theoretischen Grundlagen dahinter keine Ahnung haben. Es hat seinen Grund, dass darüber dicke Bücher geschrieben wurden, dass man jahrelang dran rumstudieren kann. Auch aus gutem Grund bekommt man da erstmal über mehrere komplette Veranstalltungen im Studium gesagt, wie der Mensch eigentlich seine Umgebung wahrnimmt und in welchen Formen er denkt. Dazu gehören dann auch Dinge wie zum Beipiel das unser Gehirn Zusammenhänge nur über sehr wenige Sekunden im direkt zugreifbaren Speicher halten und so.
Der Mensch kann aus seiner evoltionären Geschichte heraus Dinge sehr schnell erfassen, solange sie ganzheitlich sind. Sprich, ich muss jetzt alles durchschauen und nicht nach und nach. Andererseits kann der Mensch nur sehr begrenzt Informationen aufnehmen und wie gesagt in nur minimalen Zeiträumen ohne zusätzlichen Aufwand zusammenhalten.
All dies sind keine neuen Erkenntnisse, eigentlich hatte man sie abseits der Computer bereits in den Sechzigern bei Dingen wie Flugzeug-Kontrolle. Die Interfacedesigner bei Computern verweigern sich ihnen aber nach wie vor konsequent und viel schlimmer, sie machen bereits getane Arbeit wieder zunichte.
Dieser Fall am Firefox - und übrigens auch am aktuellen Opera - ist ein ganz klassisches Beispiel. Das GUI ist eine Schnittstelle zwischen mir und der Maschine. Es soll mir ermöglichen diese Maschine zu nutzen, sie ist also lediglich ein Werkzeug. Ein Werkzeug hat aber nicht zu diskutieren. Wenn Firefox mir sagt "Hey, das Zertifikat hat Yamagi selbst unterschrieben!" ist das OK. Aber es muss die Möglichkeit geben einen Knopf zu drücken "Nerve mich nie wieder!" wie es ihn früher auch gab. Den drücke ich und ich habe für immer Ruhe. Firefox begeht jedoch die Totsünde. Er öffnet ein neues Fenster, in dem er mir neue Informationen gibt, die ich vorher nicht hatte. Gleichzeitig werden alte Informationen nicht wiederholt (wobei wiederholen und nicht wiederholen beides übel ist). Die Kette ist zu lang, das Gehirn kann den Zusammenhang zwischen diesem neuen Fenster und der Website nicht mehr ohne Zusatzaufwand herstellen. Das bedeutet Stress und nervt den Nutzer.
Betrachten wir Firefox allein, mag das nicht so schlimm sein. Aber da immer mehr Programme auch auf die Abfragen hin noch mal abfragen, ist der Nutzer nach dem dritten Popup einfach so entnervt, dass er den Klickflash bekommt. Er drückt nur noch weg, ohne die Informationen aufzunehmen und zersemmelt dadurch gerade das, was man durch die Extranachfrage verhindern wollte. Kurz gesagt, aus Sicht verbünftiger Benutzerführung ist diese Nachfrage ein Totalschaden.

Im Sicherheitrelevanten Bereich wie hier könnte es viel besser so gelöst werden: Eine Abfrage "Hier liegt ein selbstunterschriebenes Zertifikat vor, dies bedeutet die Gegenseite konnte nicht identifiziert werden. Statt Ihrer Bank können sie auch mit einen Angreifer verbunden sein, welcher sich als diese Bank ausgibt. Möchten Sie die Verbindung trotzdem herstellen?" Zwei Knöpfe. Ja und Nein. Basta. Möchte ich mehr, z.b. das Zertifikat immer akzeptieren, muss dies anders geregelt werden, an einem Ort, den das Auge streift. Zum Beispiel ein kleiner Hinweis in der Eingabezeile für die URL, wo sich ja bereits das Schloss für die Verschlüsselung befindet.

Wen das weitergehend interessiert, sei das Buch "The Humane Interface. New Directions for Designing Interactive Systems." von dem inzwischen leider verstorbenen Jef Raskin empfohlen.
 
Danke an Yamagi für die Ausführung, ich habe das Grundproblem schon in deinem letzten Post herausgelesen und sehe das genauso. Die Durchführung im Firefox ist aber noch recht erträglich, obwohl sie in der vorherigen Version kompakter war IIRC.

Dein Beispiel mit Windows Vista ist sehr treffend, es ist ein Graus. Aber ich vermute einen Zwiespalt in dem sich die Designer befinden, denn einerseits ist der Mensch ist ein Gewohnheitstier und auf der andern Seite wird versucht Innovation zu betreiben, eine sehr schwierige Sache.

Ich für meinen Teil ziehe den Einmaligen umgewöhnungs-Aufwand der ständigen Belästigung vor.

Ich suche seit Ewigkeiten simple funktionale Programme, die scheint es irgendwie nicht zu geben. Mir gefallen die Konzepte von Apple, der E-Mail Client ist genial, nur leider muss ich von der Oberfläche von MacOSX würgen.

simplicity ftw !
 
Yamagi: Weißt du was witzig ist? Genau dieses Buch (oder zumindest eins mit einem ähnlichen Namen und Thema) wurde in so einem Vortrag zum Firefox-, naja eigentlich ging es um Extensions, den ich mir vor einer Weile angesehen vorgeschlagen. Ich guck morgen/heute mal nach, ob ich den finde. *hinter die Ohren schreib*

Eigentlich mag ich solche Bücher nicht. Da kommen Erinnerungen an das Fach Medientechnik hoch. Da gab es immer eine "schlechte" und eine "gute" Methode um ein Interface einfach, übersichtlich und attraktiv zu gestalten. Ich fand meist die "schlechte" einfacher. Das war für gewöhnlich, die nicht-Klixibunti-Methode.
 
Also, Jef Raskin hat seinerzeit in den 80ern die Oberfläche der ersten Macintosh-Generation designed, eine Tatsache die in seinem Buch immer wieder auftaucht. Allerdings haben sich Apple und er in den 90ern ideologisch getrennt. Raskin forschte als alter Mann an neuen Konzepten wie Zuis (http://de.wikipedia.org/wiki/Skalierbare_Benutzeroberfläche), also Konzepten die uns bis heute sehr seltsam vorkommen. Apple hingegen näherte sich immer mehr dem Windows / Gnome / KDE Einheitsbrei an. Natürlich ist auch OS X 10.5 immer noch deutlich besser als ein Windows XP oder gar Vista, aber schon recht weit vom Ideal entfernt. Als kleine Anmerkung am Rande, ich habe selbst an meinem Macbook sehr lange gebraucht bis ich kapierte, wie ich die Darstellung von Verzeichnisbäumen im Finder verändern kann. Sowas soll eigentlich nicht sein :)
Auf der anderen Seite ist GUI-Design immer das Suchen und Finden von Kompromissen, wer es einmal versucht hat weiß, dass es praktisch unmöglich ist wirklich alle Funktionalität heutiger Programme sinnvoll unterzubringen. Natürlich gibt es akademisch gesehen ein klares "Richtig" und ein klares "Falsch", in der Praxis ist es aber nicht umsetzbar und einen Tod wird man sterben müssen. Fragt sich nur, wie schmerzhaft er wird. Daraus leiten sich dann so bekannte und nichtssagende Sprüche wie "Oftmals ist weniger mehr" ab. Schön zu sehen an Microsoft Word zu Abiword. Word ist eines der überladensten Programme überhaupt, bis 2003 war es praktisch nicht bedienbar. Wer komplexere Dinge wollte, musste in das Begleitbuch schauen oder Clippy fragen. Clippy selbst ist natürlich auch so eine Sache, schon der gesunde Verstand sagt, dass sie Murks ist. Ab 2007 ist eine klare Verbesserung zu erkennen aber vieles ist immer noch weit vom Optimum entfernt.
Sage ich jetzt "Junge, ich möchte das der Text um ein einzufügendes Bild herumläuft" wird es jemanden, der mit beiden Programmen noch nie gearbeitet hat, mit Sicherheit in Abiword einfacher fallen als in Word. Denn Abiword hat flachere Menüs, einfachere Einstellfelder und viel weniger Funktionen, ais denen man die korrekte finden muss. Das soll jetzt Word aber nicht schlecht machen, das Programm hat durchaus seine Darseinsberechtigung.
All das bezieht sich übrigens nur auf grafische Oberflächen, Textinterfaces wie wir BSDler sie mögen, sind eine ganz andere Geschichte, die ganz andere Probleme haben. Das Unix-Interface ist das gar nicht mal so schlecht, auch wenn man durchaus harte Kritik üben kann.

Wer den Raskin ließt, wird erstaunt sein. Naturgemäß geht er in seinen Beispielen vor allem auf seine Kinder ein. Die Apple der 80er, Canon Scan, etc. Aber all das kommt erst recht spät, er beschäftigt sich auch sehr viel mit Dingen, die auf dem ersten Blick gar nichts mit Computern zu tun haben. Besagte Cockpits, Autoradios und so weiter. Man erkennt, dass all dies das gleiche ist. Genauso wie die Gesetze der Physik hier und am Ende der Welt gelten, gelten die Regeln des Interfacedesigns am Computer genauso wie im Auto. Das führt so weit, dass man plötzlich erkennt, wieso Kreisverkehre Kreuzungen entschärfen können und wie weniger Verkehrszeichen dazu führen, dass wir sicherer ins Büro kommen.
Viele schreckt das ab, sie halten aus der Sicht des Computernerds, der mit dem Ding besser sprechen kann als mit jedem Menschen, diese Dinge für Schwachsinn und legt das Buch (und ähnliche Bücher) schnell zur Seite. Naja, ich quasel mich fest.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben