Firefox TLS-Zertifikate Einstellungen testen

[Felix_krueger]

Hallo Leute,

ich war gerade dabei meinem Firefox (V. 26.0) beizubringen welche TLS's er verwenden darf.
Dafür (testweise) about:config -> security.tls.version.min von 0 auf 3 gestellt und security.tls.version.max von 1 auf 3.

Es gilt:
0 entspricht SSL 3.0,
1 entsprich TLS 1.0,
2 entsprich TLS 1.1,
3 entsprich TLS 1.2.

Das heißt, dass FF nur noch TLS 1.2 verweden darf.

Das wollte ich dann natürlich testen, aber siehe da:

Geht nicht.

Hat jemand ne Idee, ob der Test nicht funktioniert (EXPERIMENTAL) https://www.ssllabs.com/ssltest/viewMyClient.html, oder man anders gucken kann, ob die Einstellungen wirksam geworden sind?


EDIT: Weiß jemand zufällig, wieso security.tls.version.max von Mozilla nicht standardmäßig auf "3"/TLS 1.2 gesetzt wird?

LG

 

[Gleipnir]

Warum willst du TLS 1.2 erzwingen, es wird doch oft noch SSL3 genutzt.

 

[Felix_krueger]

Du musst mich missverstanden haben. Meine Einstellung für das "Alltags-Surfen" ist nicht TLS 1.2. Ich habe testweise(!) TLS 1.2 erzwungen und möchte wissen, warum es nicht funktioniert, oder ob jemand ne Idee hat, wie ich testen kann, ob es wirklich nicht funktioniert.

Meine zweite Frage war: Weiß jemand zufällig, wieso security.tls.version.max von Mozilla nicht standardmäßig auf "3"/TLS 1.2 gesetzt wird? Uns somit TLS 1.2 a priori ausgeschlossen wird.

 

[Gleipnir]

warum max. nicht von Hause aus auf TLS1.2 gesetzt ist wird Dir wohl nur Mozilla selbst beantworten können

Edit: Deine Testseite zeigt was falsches an, Web.de unterstützt nur SSL3.x wenn man TLS 1.1 oder höher erzwingt bekommt man eine Fehlermeldung beim LogIn Versuch

 

[Felix_krueger]

Alles klar, danke sehr!

 

[mensch183]

warum max. nicht von Hause aus auf TLS1.2 gesetzt ist wird Dir wohl nur Mozilla selbst beantworten können

Weil ein im Netz "weit" verbreitetes Stück Software der Firma F5 abkackt, wenn es Pakete >255 Byte Länge beim TLS-Handshake bekommt. Bei TLS 1.1/1.2 wird diese Größe durch eine lange Liste zulässiger Cryptosuites leicht erreicht. Damit Firefoxnutzer beim Zugriff auf ihre Lieblingswebseite nicht über Verbindungsprobleme jammern, wurden die neueren TLS-Versionen vorläufig deaktiviert. Bessere Lösung für Browser ist, die Liste der Cryptosuites nicht so lang werden zu lassen. Damit verbaut man sich aber auch wieder den Zugriff auf den ein oder anderen obskur konfigurierten Server.

 

[Gleipnir]

Entweder der Server unterstützt TLS1.1/1.2 dann sollte es aber keine Probleme geben oder er unterstützt es nicht, dann wird SSL3/TLS1.0 verbunden, wenn beide Seiten das zulassen.

 

[Felix_krueger]

@ mensch183: Das klingt nach einer plausiblen Antwort, aber verrate mir doch bitte noch um welche Software es sich handelt. Ich kann mir keinen Reim drauf machen ...

Edit:
ich habe doch eine Antwort unter http://www.heise.de/security/news/foren/S-F5-BIG-IP-Re-Welche-Inkompatibiltaet/forum-272347/msg-24591618/read/ gefunden:


"
Inkompatibilitäten mit F5 BIG-IP Loadbalancern.
Ältere Versionen dieser serh verbreiteten Loadbalancer haben
Probleme, wenn der initial SSL Client Hello zu lang ist (>255 Byte),
was bei der bei TLS1.2 durch die größere Menge an möglichen Ciphern
passieren kann.
Workarounds sind sich auf TLS1.1 zu beschränken (weniger Ciphern)
oder TLS1.2 mit explizit wenigerCiphern zu machen - so wird es bei
Chrome und IE11 (und der Perl IO::Socket::SSL Bibliothek) gemacht:

http://support.f5.com/kb/en-us/solutions/public/13000/000/sol13037.ht
ml
http://guest:guest@rt.openssl.org/Ticket/Display.html?id=2771
"