News Firefox: Warnung bei TLS-Zertifikaten von Symantec
- Ersteller mischaef
- Erstellt am
- Zur News: Firefox: Warnung bei TLS-Zertifikaten von Symantec
@GregoryH
Besten dank für den Hinweis. Wurde korrigiert.
@Klosteinmann
Das stimmt eben so nicht. Mozilla hat selbst bestätigt, dass es sich bei dem Tier um den Panda handelt. Und da kommt der Designer ins Spiel...
Besten dank für den Hinweis. Wurde korrigiert.
@Klosteinmann
Das stimmt eben so nicht. Mozilla hat selbst bestätigt, dass es sich bei dem Tier um den Panda handelt. Und da kommt der Designer ins Spiel...
Zuletzt bearbeitet:
Hauro
Fleet Admiral
- Registriert
- Apr. 2010
- Beiträge
- 13.632
Im Blog steht es drin:
This change is scheduled for Firefox 63, with the following planned release dates:
Hier mal der Indikator im Detail:
Ein grünes Sperrschloss ohne dem Namen einer Organisation bedeutet, dass die Verbindung zu der Webseite, deren Adresse in der Adressleiste angezeigt wird, sicher ist und die Verbindung nicht abgefangen wurde - kein Man-in-the-Middle-Angriff.
Siehe auch: Domain-validated certificate
URL: https://blog.mozilla.org/security/
Ein grünes Sperrschloss zusammen mit dem Namen des Unternehmens oder der Organisation in ebenfalls grüner Schrift bedeutet, dass die Website ein „Extended-Validation (EV)“-Zertifikat verwendet. Es ist eine Erweiterung zum Domain-validated (DV) Zertifikat.
Siehe auch: Extended Validation Certificate
URL: https://www.mozilla.org/de/
Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass die Verbindung zwischen Firefox und der Website nur teilweise verschlüsselt wird und nicht völlig abhörsicher ist. Elemente der Seite werden unverschlüsselt übertragen.
Gemischter Inhalt
Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass Firefox unsichere inaktive Elemente einer Seite (z. B. Grafiken) nicht am Laden hindert. Standardmäßig blockiert Firefox nicht das Laden gemischten passiven Inhalts; siehe auch Blockierung gemischter Inhalte in Firefox. Angreifern wäre es möglich, bestimmte Teile der Seite zu manipulieren, z. B. indem irreführende oder unangemessene Inhalte eingefügt werden. Allerdings sollte es nicht möglich sein, persönlichen Informationen von der Seite zu abzufangen.
URL: https://mpi-lingweb.shh.mpg.de/kanji/index.html?kanji=漢字
Hinweis:
Die Aktivierung (true) der Einstellung security.mixed_content.upgrade_display_content erlaubt ein automatisches Upgrade von HTTP-Ressourcen auf HTTPS-Webseiten, sofern diese auch über HTTPS verfügbar sind. Achtung, dies kann auch dazu führen, dass ein Element auf einer Webseite überhaupt nicht mehr angezeigt wird.
Ein graues Sperrschloss mit gelbem Warndreieck erscheint auch auf Websites, deren Zertifikat selbst signiert oder nicht von einer vertrauenswürdigen Zertifizierungsstelle verifiziert wurde.
Ein rot durchgestrichenes graues Sperrschloss bedeutet, dass die Verbindung zwischen Firefox und der Website nicht sicher ist.
Es ist möglich den Indikator in der Adressleiste für nicht sichere Websites zu ändern:
Siehe auch Add a pref to display a negative indicator in the URL bar for non-secure sites
This change is scheduled for Firefox 63, with the following planned release dates:
- Beta – September 5
- Release – October 23
Hier mal der Indikator im Detail:
Ein grünes Sperrschloss ohne dem Namen einer Organisation bedeutet, dass die Verbindung zu der Webseite, deren Adresse in der Adressleiste angezeigt wird, sicher ist und die Verbindung nicht abgefangen wurde - kein Man-in-the-Middle-Angriff.
Siehe auch: Domain-validated certificate
URL: https://blog.mozilla.org/security/
Ein grünes Sperrschloss zusammen mit dem Namen des Unternehmens oder der Organisation in ebenfalls grüner Schrift bedeutet, dass die Website ein „Extended-Validation (EV)“-Zertifikat verwendet. Es ist eine Erweiterung zum Domain-validated (DV) Zertifikat.
Siehe auch: Extended Validation Certificate
URL: https://www.mozilla.org/de/
Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass die Verbindung zwischen Firefox und der Website nur teilweise verschlüsselt wird und nicht völlig abhörsicher ist. Elemente der Seite werden unverschlüsselt übertragen.
Gemischter Inhalt
Ein graues Sperrschloss mit gelbem Warndreieck bedeutet, dass Firefox unsichere inaktive Elemente einer Seite (z. B. Grafiken) nicht am Laden hindert. Standardmäßig blockiert Firefox nicht das Laden gemischten passiven Inhalts; siehe auch Blockierung gemischter Inhalte in Firefox. Angreifern wäre es möglich, bestimmte Teile der Seite zu manipulieren, z. B. indem irreführende oder unangemessene Inhalte eingefügt werden. Allerdings sollte es nicht möglich sein, persönlichen Informationen von der Seite zu abzufangen.
URL: https://mpi-lingweb.shh.mpg.de/kanji/index.html?kanji=漢字
Hinweis:
Die Aktivierung (true) der Einstellung security.mixed_content.upgrade_display_content erlaubt ein automatisches Upgrade von HTTP-Ressourcen auf HTTPS-Webseiten, sofern diese auch über HTTPS verfügbar sind. Achtung, dies kann auch dazu führen, dass ein Element auf einer Webseite überhaupt nicht mehr angezeigt wird.
Ein graues Sperrschloss mit gelbem Warndreieck erscheint auch auf Websites, deren Zertifikat selbst signiert oder nicht von einer vertrauenswürdigen Zertifizierungsstelle verifiziert wurde.
Ein rot durchgestrichenes graues Sperrschloss bedeutet, dass die Verbindung zwischen Firefox und der Website nicht sicher ist.
Es ist möglich den Indikator in der Adressleiste für nicht sichere Websites zu ändern:
- Konfigurationseditor (about:config) öffnen
- Es wird der Warnhinweis angezeigt: „Hier endet möglicherweise die Gewährleistung!”. Auf die Schaltfläche 'Ich bin mir der Gefahren bewusst!' klicken, um fortzufahren.
- Nach 'security.insecure_connection' suchen
- Wert auf true setzen (aktivieren).
security.insecure_connection_icon.enabled
security.insecure_connection_text.enabled
security.insecure_connection_icon.pbmode.enabled
security.insecure_connection_text.pbmode.enabled
Siehe auch Add a pref to display a negative indicator in the URL bar for non-secure sites
Zuletzt bearbeitet:
Pitt_G.
Admiral
- Registriert
- Aug. 2007
- Beiträge
- 9.087
Also meine CPUs haben kein AES ..wenn du das meinst Von wegen Troll, ich darf mir den ganzen Mist antun, wenn man für Skype4 Business SIP kein SSL Intercept machen kann aber 10000 Ports auf der Firewall öffnen muss
Wie soll man denn ohne gestaffelte Security machen
Alles was verschlüsselt ist hat seine zwei Seiten. Schau ich rein kann ich sicherstellen dass dir keiner Schadcode unterjubelt
Wie soll man denn ohne gestaffelte Security machen
Alles was verschlüsselt ist hat seine zwei Seiten. Schau ich rein kann ich sicherstellen dass dir keiner Schadcode unterjubelt
Blutschlumpf
Fleet Admiral
- Registriert
- März 2001
- Beiträge
- 20.378
Da LE keine "richtigen" (= EV) Zertifikate anbietet, ist das doch belanglos ob die kostenlos sind.gaelic schrieb:
Für EV zahlste afaik immer noch richtig Asche weil der Mist halt per Hand überprüft werden muss, habe jedenfalls noch keine günstigen gesehen.
DeusoftheWired
Fleet Admiral
- Registriert
- Juni 2009
- Beiträge
- 13.946
Pitt_G. schrieb:
Kannst du reinschauen, können’s andere auch. Tut mir leid, aber den Konfigurationsaufwand einiger hunderttausend höher zu bewerten als die Privatsphäre von Millionen, ist daneben. Da versperrt dir die tägliche Arbeit wohl die Sicht. Wie Mort626 auch schon angemerkt hat, ist AES jetzt auch nicht gerade der neue brandheiße Scheiß, sondern eben schon zehn Jahre alt. :I
Bully|Ossi
Rear Admiral
- Registriert
- Jan. 2009
- Beiträge
- 5.569
Symantec, keine Ahnung wieviele Böcke die schon geschossen haben, aber ich kenne niemanden der denen irgendwie vertraut. Erschreckend das so eine Truppe derartige Zertifikate ausstellen durfte.
Pitt_G.
Admiral
- Registriert
- Aug. 2007
- Beiträge
- 9.087
Ja ich nutze über 12 Jahre alte Technik aus prä Vista Zeiten. Die können eh reinschauen ssl hin oder her. Hier geht's doch darum das Symantec Proxies ned ohne weiteres ein Ssl Intercept machen können ob SsLvpn hier auch zum Leidtragenden wird kann ich im Moment nicht abschätzen.
Dass MS für O365 gerne alle Security außen vor hat , da jammert keiner drüber. Hab den Eindruck Verschlüsselung wird gerne missbraucht für proprietäre Dinge die man sonst nicht durch die Firewalls bekommt.
Die ganze Kampagne sieht doch fast so aus, wie verschlüsselt alles, damit keiner mehr weiß was wirklich wert ist aufzubrechen. Frei nach dem Motto wer verschlüsselt ist prinzipiell verdächtig
Können alte Tablets und Smartphones Verschlüsselung in Hardware?
Dass MS für O365 gerne alle Security außen vor hat , da jammert keiner drüber. Hab den Eindruck Verschlüsselung wird gerne missbraucht für proprietäre Dinge die man sonst nicht durch die Firewalls bekommt.
Die ganze Kampagne sieht doch fast so aus, wie verschlüsselt alles, damit keiner mehr weiß was wirklich wert ist aufzubrechen. Frei nach dem Motto wer verschlüsselt ist prinzipiell verdächtig
Können alte Tablets und Smartphones Verschlüsselung in Hardware?
Zuletzt bearbeitet:
M@rsupil@mi
Vice Admiral
- Registriert
- Jan. 2013
- Beiträge
- 6.443
Natürlich wird auch bei MS gemeckert, wenn die bei Verschlüsselung und Sicherheit patzen.
Wie kommt man immer auf solchen Blödsinn, wie "keiner jammert"?
Wie kommt man immer auf solchen Blödsinn, wie "keiner jammert"?
Zuletzt bearbeitet:
psYcho-edgE
Admiral
- Registriert
- Apr. 2013
- Beiträge
- 7.600
Stunrise schrieb:
Http wird bei Chrome zwar nicht rot aber grau markiert. Genauso Seiten, die Mixed Content haben. Erst bei HTTPS/2 und validem Zertifikat wird grün markiert. Invalide Zertifikate rot.
Stunrise schrieb:
Du widersprichst dir selbst in den folgenden Sätzen :^)
Ansonsten alles richtig.
Hauro
Fleet Admiral
- Registriert
- Apr. 2010
- Beiträge
- 13.632
Firefox Nightly oder Chrom[e|ium]?hanschke schrieb:
In Firefox Nightly die security.pki.distrust_ca_policy Einstellung ändern:
- Konfigurationseditor (about:config) öffnen
- Es wird der Warnhinweis angezeigt: „Hier endet möglicherweise die Gewährleistung!”. Auf die Schaltfläche 'Ich bin mir der Gefahren bewusst!' klicken, um fortzufahren.
- Nach 'security.pki.distrust_ca_policy' suchen
Enforce Symantec distrust in Firefox 63
> Add a pref value to implement the Firefox 63 Symantec distrust algorithm - Wert auf 1 setzen.
Google and Mozilla are Deprecating Existing Symantec Certificates [SSL Labs, September 26, 2017]
Update February 2018:
Starting 1 March 2018, SSL Labs will give “T” grade for Symantec certificates issued before June 2016.
Starting 1 September 2018, SSL Labs will give “T” grade for all remaining Symantec certificates.
Zuletzt bearbeitet:
(Ergänzung)
R
RalphS
Gast
Nicht Mozilla traut oder mißtraut Zertifikaten, sondern *ich.
Schluß mit dieser Bevormundung. Wenn ich Symantec nicht vertraue, dann will und werde ich das selber so festlegen.
Websiteanbieter trollen, weil die die falschen bezahlt haben? ... ja genau, so machen wir das.
Schluß mit dieser Bevormundung. Wenn ich Symantec nicht vertraue, dann will und werde ich das selber so festlegen.
Websiteanbieter trollen, weil die die falschen bezahlt haben? ... ja genau, so machen wir das.
Blutschlumpf schrieb:
Primärer Zweck der Zertifikate ist nunmal ssl zwischen Server und Client. Klarerweise sind das auch "richtige" Zertifikate.
Erst sekundär kommt EV dazu. Nicht umsonst bedeutet EV "extended validation". Diese sind im Endeffekt nur für Behörden oder Firmen interessant, besonders wenn es um Finanzen geht (z.b. Onlineshop).
RalphS schrieb:
Symantec hat nunmal Zertifikate für Domains ausgestellt die der Domaininhaber nicht beantragt hat, sondern jemand anders. Das hat nichts mit Trollerei zu tun, die geht hier eindeutig von Symantec aus. Dieser fahrlässigen Praxis wird nun ein Riegel vorgesetzt. Du kannst aber natürlich weiterhin händisch die Zertifikate akzeptieren. Sollte problemlos mit allen gängigen Browsern möglich sein.
R
RalphS
Gast
Hm. Wenn ich mich recht entsinne waren das einige wenige und das Testzertifikate. Von Verisign, die S. unschlauerweise später gekauft hat (als das Kind schon im Brunnen ersoffen war). Nicht schön, klar, aber auch nicht schlimmer als Oh, hab ich grad den privaten Schlüssel in ein öffentliches Forum gestellt? .
Lasse mich natürlich gerne eines besseren belehren. IMO hätte man unter Berücksichtigung des kolportierten Vertrauensverlustes die CA lieber zumachen sollen... aber hey, MONETEN.
Lasse mich natürlich gerne eines besseren belehren. IMO hätte man unter Berücksichtigung des kolportierten Vertrauensverlustes die CA lieber zumachen sollen... aber hey, MONETEN.
Der-Orden-Xar
Commander
- Registriert
- Okt. 2007
- Beiträge
- 2.823
Angefangen 2013/2014 als später als per allgemeiner Vereinbarung noch Zertifikate mit RSA-1024 ausgestellt wurden, bis Audit-Fehlern bis 2017. Die Liste ist lang und irgendwann wird es halt zu lang.
Issue D: "Between 2009 and 2015, Symantec issued a large number of test certificates in their publicly trusted hierarchies." Klingt nach mehr, als "Ein paar Testzertifikate"
https://wiki.mozilla.org/CA:Symantec_Issues
Issue D: "Between 2009 and 2015, Symantec issued a large number of test certificates in their publicly trusted hierarchies." Klingt nach mehr, als "Ein paar Testzertifikate"
https://wiki.mozilla.org/CA:Symantec_Issues
R
RalphS
Gast
Wie gesagt, im Sinne von Vertrauensproblemen - und die SIND es — hätte man die CA schon damals schließen müssen. Denn das ist Brot und Butter dort im Geschäft. Der eigentliche Skandal ist, daß man das nicht gemacht und stattdessen diese Historie hinterhergezogen hat.
Dies unbeachtet meiner Meinung, daß da A was schiefgelaufen ist und B es bereits damals eine, wenn nicht DIE, Schwachstelle von X509 offengelegt hat: den Anwender, der eigentlich in der Pflicht ist, Zertifikate selber zu verwalten und zu prüfen. Wäre das passiert bzw. wäre das nicht so integral erforderlich, wäre das ein Sturm in der Teetasse gewesen.
Naja, und Symantec hätte Verisign niemals das Zertifikatsgeschäft abkaufen dürfen, da klar gewesen sein mußte(!), daß genau das passieren würde, was wir jetzt haben. Wer weiß, was *jetzt in deren Köpfen vorgeht, vor allem NACHDEM sie so weitergemacht haben.
Womöglich - deswegen auch die Erwähnung oben — einfach die uralte Frage nach dem Geld.
Dies unbeachtet meiner Meinung, daß da A was schiefgelaufen ist und B es bereits damals eine, wenn nicht DIE, Schwachstelle von X509 offengelegt hat: den Anwender, der eigentlich in der Pflicht ist, Zertifikate selber zu verwalten und zu prüfen. Wäre das passiert bzw. wäre das nicht so integral erforderlich, wäre das ein Sturm in der Teetasse gewesen.
Naja, und Symantec hätte Verisign niemals das Zertifikatsgeschäft abkaufen dürfen, da klar gewesen sein mußte(!), daß genau das passieren würde, was wir jetzt haben. Wer weiß, was *jetzt in deren Köpfen vorgeht, vor allem NACHDEM sie so weitergemacht haben.
Womöglich - deswegen auch die Erwähnung oben — einfach die uralte Frage nach dem Geld.
Ähnliche Themen
