Firefox 58 - Diese Verbindung ist nicht sicher

[dubstep1234]

Seiteninformationen – technische Informationen über die aktuell besuchte Seite
Wie beschrieben die Schritte 1-3 ausführen, um den Dialog 'Seiteninformationen' zu öffnen. Hier in den Reiter 'Sicherheit' wechseln.

Auf die Schaltfläche (Button) 'Zertifikat anzeigen' klicken, um den Dialog 'Zertifikat-Ansicht:' zu öffnen. Hier in den Reiter 'Details' wechseln. Unter Zertifikatshierarchie wird die Hierarchie/Kette der Zertifikate angezeigt.

Beispiel Amazon:
Anhang anzeigen 663368

Hab ich nicht den Button

 

[Hauro]

Da stimmt etwas ganz und gar nicht. Irgend etwas greift hier ein und manipuliert den Dialog:



Der Reiter 'Berechtigungen' fehlt ganz und bei 'Sicherheit' die Angabe von 'Gültig bis:'.

Würde es mit der Mozilla Firefox Portable Edition gegen testen.

 

[M1LCHQ]

Habe das gleiche Problem wie dubstep1234!

Das hängt mit dem Fake-Zertifikat von Kaspersky und Firefox 58 zusammen.
Mit Firefox 57 funktioniert alles problemlos, sobald ich aber das Update auf Firefox 58 mache, tritt genau das beschriebene Problem von dubstep1234 auf.

Und zwar müssen wie auf dem Bild alle Haken gesetzt sein. Das Problem ist aber dass Firefox 58 die Einstellung nicht permanent speichert, sondern nur solange bis der Firefox geschlossen wird. Das heisst wenn man den Firefox neustartet wurde die Vertrauenseinstellung für das Kaspersky Zertifikat (Haken nicht gesetzt) wieder entzogen!

Eine wirkliche Lösung kann ich auch nicht anbieten, entweder man updatet den Firefox vorläufig nicht auf Version 58 oder man nimmt die entsprechende Eintstellung (Do not scan encrypted connections) in Kaspersky vor.

 

[Hauro]

Dieser Eingriff durch die Add-Ons/Plugins der Antiviren-Software macht Browser unsicher. Die Antiviren-Software hat Eingriffe in die gesichere Kommunikation zu unterlassen - es ist nichts anderes als ein Man-in-the-Middle Angriff.

In der Kryptographie und Computersicherheit ist ein man-in-the-Middle-Angriff (MITM) ein Angriff, bei dem der Angreifer heimlich Relais und möglicherweise die Kommunikation zwischen zwei Parteien ändert, die glauben, dass Sie direkt miteinander kommunizieren.

Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS" [heise.de, 08.02.2017]

So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset und Kaspersky direkte Angriffe auf die gesicherten Verbindungen.

Älter aber es zeigt die Probleme:
Studie: TLS-Proxies bringen Sicherheitsprobleme
Unter 14 Antivirus- und Kinderschutzprodukten, die Inhalte in gesicherten TLS-Verbindungen filtern, fand sich kein einziges, das dabei keine zusätzlichen Sicherheitsprobleme verursachte.

Und es trifft alle Browser. Hier nur einige ältere Beispiele:
Certificate error in IE11 > Internet Explorer, Chrome & Bitdefender
Your connection is not private > Chrome & Bitdefender
[solved in 18.23.0.1604] Ssl Security Issue With Bd Certificate Injection > Chrome & Bitdefender

 

[M1LCHQ]

Danke Hauro!

Wenn das so ist, dann nimmt man besser die Einstellung (Do not scan encrypted connections) in Kaspersky vor.

 

[dubstep1234]

Kann es dann aber nicht passieren, dass ich auf eine Phising Seite gelange, wenn ich die Funktion deaktivieren?
Und SSL wird ja wahrscheinlich gescannt, da darüber auch Viren versendet werden können oder?

 

[Hauro]

Hier der Link zum Kaspersky Forum:
"Your connection is not secure Error code: sec_error_unknown_issuer" Firefox Problem with kapersky

Geschrieben vor 4 Stunden (bearbeitet)

Workaround for this issue if you don't want to disable HTTPS scanning is to open about:config in Firefox and set 'security.enterprise_roots.enabled' to true. Then Firefox will not display certificate error and HTTPS scanning will work.

Siehe CA:AddRootToFirefox - MozillaWiki

Und SSL wird ja wahrscheinlich gescannt, da darüber auch Viren versendet werden können oder?

Dies gibt den Aktivieren-Hersteller aber nicht das Recht einen Angriff auf die sichere Verbindung vorzunehmen, anders geht es nämlich nicht.

Die erste Konsequenz des Aufbrechens der sicheren Verbindung sind Fälle wie dieses Thema. Die andere Konsequenz ist, dass meist auch noch Lücken aufgemacht werden, die Angreifer ausnutzen können. Siehe auch Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS" [heise.de, 08.02.2017]

Eine heruntergeladene Datei kann auch überprüft werden, nachdem sie im Ziel-Ordner gespeichert ist.

Kann es dann aber nicht passieren, dass ich auf eine Phising Seite gelange, wenn ich die Funktion deaktivieren?

Der Beste Schutz vor Phising ist, die URL selber einzugeben ggf. zu kontrolieren, um eine Umleitung auszuschließen (Regel Nr. 1: Niemals einen Link ungeprüft im Browser öffnen). Zusätzlich ist darauf zu achten, dass eine sichere Verbindung aufgebaut wurde. Darüber hinaus kontrolliere ich das Zertifikat, um den Quelle zu überprüfen (Regel Nr. 2: Nur weil ein grünes Schloss vorhanden ist, muss es sich nicht um die Orginal-Seite handeln > Identitätsdiebstahl mit Unicode [www.psw-group.de, 19.09.2017]). Deshalb vrewenden eine seriöse Bank ein „Extended-Validation (EV) “-Zertifikat siehe auch unten.

Browser haben auch einen Schutz integriert:
support.mozilla.org: Wie funktioniert der eingebaute Schutz vor Betrugsversuchen (Phishing) und Schadprogrammen?

Firefox schützt Sie vor Betrugsversuchen und Schadprogrammen im Internet. Der Artikel beschreibt die Funktionsweise dieses Schutzmechanismus. Die Schutzfunktion warnt Sie beim Besuch von betrügerischen Webseiten (auch als „Phishing“ bekannt), sie warnt vor „attackierenden Seiten“, vor Seiten, die Schadprogramme zu installieren versuchen, und vor Seiten, deren Downloads zusätzliche unerwünschte Software mitbringen. Die Schutzfunktion warnt Sie auch, wenn Sie als Schadprogramme erkannte Dateien herunterladen.

support.google.com: Warnungen vor unsicheren Websites

Der Phishing- und Malwareschutz ist standardmäßig aktiviert. Bei aktiviertem Schutz sehen Sie möglicherweise die nachfolgend aufgeführten Meldungen. Falls Sie eine dieser Meldungen sehen, sollten Sie die Website nicht besuchen.

---

URL: https://blog.mozilla.org/security/	Ein grünes Sperrschloss ohne dem Namen einer Organisation bedeutet: Sie sind mit Sicherheit mit jener Website verbunden, deren Adresse in der Adressleiste angezeigt wird, und die Verbindung wurde nicht abgefangen. Die Verbindung zwischen Firefox und der Website erfolgt verschlüsselt, um deren Abhören zu verhindern. Siehe auch: Domain-validated certificate
URL: https://www.mozilla.org/de/	Ein grünes Sperrschloss zusammen mit dem Namen des Unternehmens oder der Organisation in ebenfalls grüner Schrift bedeutet, dass die Website ein „Extended-Validation (EV) “-Zertifikat verwendet. Es ist eine Erweiterung zum Domain-validated (DV) Zertifikat. Siehe auch: Extended Validation Certificate
URL: https://mixed-script.badssl.com/	Ein grünes Sperrschloss mit einem grauen Warndreieck zeigt an, dass die Verbindung sicher ist, jedoch hat Firefox unsichere Inhalte am Laden gehindert. Möglicherweise arbeitet deshalb diese Seite nicht völlig korrekt oder zeigt Inhalte nur unvollständig an. Weitere Informationen dazu erhalten Sie unter Blockierung gemischter Inhalte in Firefox. Dieses Problem muss vom Entwickler der Seite behoben werden.
URL: https://mpi-lingweb.shh.mpg.de/kanji/index.html?kanji=漢字	Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass die Verbindung zwischen Firefox und der Website nur teilweise verschlüsselt wird und nicht völlig abhörsicher ist. Elemente der Seite werden unverschlüsselt übertragen.
URL: http://www.mangaka.de/?action=japanischkurs	Ein rot durchgestrichenes graues Sperrschloss bedeutet, dass die Verbindung zwischen Firefox und der Website nicht sicher ist. Hinweis: Ein graues Sperrschloss wird bei einer HTTP-Verbindung nur angezeigt, wenn (Anmelde-)Daten eingegeben werden können.

Siehe auch Wie kann ich feststellen, ob meine Verbindung zu einer Website verschlüsselt erfolgt?

 

[dubstep1234]

Ok, aber ansich ist die überprüfung durch av programme ja nicht schlecht oder? Oder verwendet Kaspersky zum wieder verschlüsseln rav4 oder wie das heißt?
Ich mein ein Antivirenprogramm hat sowieso vollen Zugang zum Rechner, ob es jetzt die gesicherten Verbindungen mitliest oder nicht. Wenn man Angst vor Datenmissbrauch hat sollte man halt gar kein AV installieren. Oder geht es nur darum, dass die AV´s die aufgeschlüsselte SSL Verbindung schlechter "zuschlüsseln" und weiterschicken?

 

[Der-Orden-Xar]

Ja, das ist im allgemeinen Tonus als schlecht betitelt.
Alles, was die AV durch das aufbrechen scannen kann, könnte es auch Scannen, wenn der Browser es entschlüsselt hat.
Dagegen hebelt das Aufbrechen einige Sicherheitsmaßnahmen gegen Man-in-the-middle angriffe aus und zumindest aus einem test mit Bitdefender um 2015 weiß ich, dass sich der Client hello doch massiv verändert hat - will heißen, es wurden eine komplett andere Liste "akzeptierter" CipherSuits geschickt, damals war auch RC4 noch mit dabei, was der Firefox da schon lange nicht mehr angeboten hat.

Um zu wissen, ob Kaspersky das auch macht - oder ob die es wenigstens schaffen, da auf die selben Verfahren wie der Browser zu setzen - müsstest du mit dem Gerät selbst testen.

 

[Begim]

Bei tritt das Problem auf, wenn ich ein Masterpasswort für gespeicherte Passwörter vergebe.
Danach ist auch das Profil zerstört und ein neues muss erstellt werden.
Also wieder "neues Profil" "Kaspersky Zertifikat" importiert, einige Zugangsdaten abgespeichert.
Bis zu diesem Punkt ist alles in Ordnung, aber nach Vergabe des Passworts, ist ab Version 58 wieder alles hinüber.

 

[Hauro]

Ok, aber ansich ist die überprüfung durch av programme ja nicht schlecht oder?

Die Intention dahinter ist in Ordnung, aber das Vorgehen nicht.

Oder verwendet Kaspersky zum wieder verschlüsseln rav4 oder wie das heißt?

Es heißt RC4.

Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen. So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.

Oder geht es nur darum, dass die AV´s die aufgeschlüsselte SSL Verbindung schlechter "zuschlüsseln" und weiterschicken?

Es wird eine verschlüsselte Verbindung vom Client (Browser) zum Server aufgebaut. Die einzige Möglichkeit in diese Verbindung einzudringen, ist sich mit Gewalt dazwischen zu schalten. Dabei kommt es meist zu weiteren Angriffsvektoren. Ein Kabel das aufgetrennt und durch eine Verbindung wieder zusammengefügt wird, ist nicht mehr so stabil wie vorher - es weist jetzt Schwachstellen auf.

Die Browser-Hersteller wenden größte Sorgfalt darauf und machen große Anstrengungen, damit davon ausgegangen werden kann, dass die Daten bei der verschlüsselten Übertragung nicht abgefangen werden können. Was die AV-Hersteller machen, korrumpiert das Ganze und sorgt für viele Fehlermeldungen (Bugs), die gemeldet werden und für Unmut über den Browser sorgen, da die Schuld dem Browser zugeschoben wird - dies gilt für alle Browser.

@Begim
Wenn ein Master Passwort vergeben ist, werden die Passwörter und Zertifikate verschlüsselt gespeichert.