https deaktivieren auf youtube, wie?

[Experiment_57]

Hallo,

wie kann ich https auf youtube deaktivieren? Es soll nur noch http sein.

Sicheren Modus auf youtube ist schon deaktiviert.

 

[r0ck3r]

Ausloggen?

Ich meine, sobald du eingeloggt bist, surfst du über https....

 

[Toms]

wieso?

 

[metalpinguin]

Vermutlich hast du noch HSTS Header gesetzt. Aber warum willst du HTTPS Deaktivieren?

Du musst deinen Browser die HSTS Headers für Youtube vergessen lassen. Das ist je nach Browser mehr oder weniger Komplex.

 

[Experiment_57]

und wie soll das jetzt gehen?`ich nutze firefox

 

[r0ck3r]

Was bzw. warum ist das denn überhaupt dein Ziel?

 

[KropeK]

Sein Ziel?

ich tippe mal auf Weitergabe von Links die dann nicht funktionieren

 

[r0ck3r]

Ja genau das kann es ja nicht sein, weil es YT überhaupt nicht interessiert, ob du https-Links aufrufst.... kanst du doch selbst im privaten/Inkognito-Fenster testen.

Wirkt wie ein überflüssiger Thread, weil der TE mal wieder nicht mit der Sprache rausrückt, was er eigentlich vor hat

 

[Gleipnir]

ich habe gar kein YT oder Google Account und meist wird bei mir auch https davor gesetzt was dann in einer Fehlermeldung endet

 

[Daaron]

Wieso sollte HTTPS eine Fehlermeldung auslösen? Das passiert nur, wenn dein Browser vollkommen vermurkst ist, aber so RICHTIG RICHTIG... Was nutzt du, IE4 oder sowas?
Es ist vollkommen egal, ob du nun ein Konto hast oder nicht, Google bietet bei seinen Diensten standardmäßig immer HTTPS (nach Möglichkeit via SPDY) an, denn...
1.) Im Falle von SPDY ist man teilweise sogar flotter als bei HTTP
2.) Verschlüsselung ist immer toll
3.) Sicherheit ohne nennenswerte Zusatzkosten... toll, oder?

 

[Gleipnir]

weil mir YT im Playerfenster wenn der Link mit https anfängt nur sagt "Es ist ein Fehler aufgetreten, bitte versuchen sie es später noch einmal"

 

[Daaron]

Wie gesagt: Du hast deinen Browser kaputtgemacht. Abreißen, neu bauen... Es liegt NICHT an HTTPS, sondern an deiner Maschine.

 

[mensch183]

YT im Playerfenster wenn der Link mit https anfängt nur sagt "Es ist ein Fehler aufgetreten, bitte versuchen sie es später noch einmal"

Laß mich raten:
Du (oder ein Addon) hat im Firefox an den Optionen für TLS rumgespielt, z.B. die RC4-Ciphersuites deaktiviert?

Mache mal einen neuen Tab auf. "about:config". Gib im Suchfeld "rc4" ein. Stehen die 4 nun sichtbaren Einträge noch auf "true"? Wenn nicht, stell die 4 wieder auf true und teste erneut youtube via https.

Irgendwelche Sub-Requests von Youtube über https brauchen diese Ciphersuites. Einige "Ich mach dein SSL/TLS im Firefox ganz supersicher und supertoll"-Addons schalten die aber aus.


Wenns daran nicht liegt: Resette die Firefox-Einstellungen mal oder teste mit komplett neuem Profil.

 

[Der-Orden-Xar]

Wie gesagt: Du hast deinen Browser kaputtgemacht. Abreißen, neu bauen... Es liegt NICHT an HTTPS, sondern an deiner Maschine.

Nein, nicht zwangsweise, denn:

RC4-Ciphersuites deaktiviert?

Mache mal einen neuen Tab auf. "about:config". Gib im Suchfeld "rc4" ein. Stehen die 4 nun sichtbaren Einträge noch auf "true"? Wenn nicht, stell die 4 wieder auf true und teste erneut youtube via https.

Es genügt den Eintrag für TLS_RSA_WITH_RC4_128_SHA, sprich
security.ssl3.rsa_rc4_128_sha
auf "true" zu stellen.
Das Problem liegt in diesem Fall ein einigen Google-Servern, die nur den RC4 oder TLS_RSA_WITH_AES_128_GCM_SHA256 zulassen.
Letzterer kennt der Firefox nicht, also gibt es ohne RC4 über https nen Fehler.
Der IE 11 unter Win8 kennt übrings beide Ciphers nicht, dass sollte generell in einem Fehler enden.

 

[Gleipnir]

RC4 soll man auch gar nicht mehr verwenden, die wurde schon vor Jahren geknackt, hat NSA und Co. angeblich in Echtzeit mitgelesen und wurde auch per IE Update bei anderen Windowsversionen abgeschaltet

 

[Daaron]

openssl s_client -connect youtube.com:443 | grep "Cipher is"
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA

Aber ja, Google akzeptiert auch verschiedene RC4-Lösungen, z.B. ECDHE-RSA-RC4-SHA.

 

[yeeeargh]

nur dass das video nich von youtube.com kommt sondern der von googlevideo.com und da sieht es dann mit den angebotenen verfahren gleich ganz anders aus:

https://www.ssllabs.com/ssltest/analyze.html?d=r4---sn-qu5b-q0nl.googlevideo.com

Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites always at the end)
TLS_RSA_WITH_RC4_128_SHA (0x5) 	128
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) 	128

die zweite davon ist meines wissens erst in den letzten paar wochen dazugekommen und wird auch nur von chrome und ie11 unter win8.1 unterstützt.

ist bei mozilla bekannt
https://bugzilla.mozilla.org/show_bug.cgi?id=1029179

bisher konnte man bei deaktiviertem rc4 (was sinn macht) wenigstens für youtube auf die unverschlüsselte http variante umschwenken. aber seit ein paar tagen wir man teilweise per redirect (http 301) zwangsweise auf https umgeleitet.

 

[Daaron]

openssl s_client -connect googlevideo.com:443 | grep "Cipher is"
...
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA

 

[yeeeargh]

openssl s_client -connect googlevideo.com:443 | grep "Cipher is"
...
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-SHA

und jetzt tippste mal davor einen namen von einem server ein, der dir das video liefert anstatt beim webserver anzuklopfen … also z.B.

openssl s_client -connect r4---sn-qu5b-q0nl.googlevideo.com:443 | grep "Cipher is"
…
New, TLSv1/SSLv3, Cipher is RC4-SHA

kannst auch den paketsniffer deiner wahl anwerfen, falls du zweifel haben solltest, dass das einer der server ist, die den videocontent ausliefern.