Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Browser: Das ist neu bei Firefox 4

SSL immer noch "kaputt"...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. SSL immer noch "kaputt"...

    Autor: jayrworthington 17.03.11 - 13:34

    ... und NewMITM funktioniert "zufaellig" nichtmehr. Tja, bleiben wir halt weiterhin beim IE (Firma mit 25'000 Desktops/Notebooks) wenn wir wegen politik keine iLO's benutzen koennen mit Firefox...

  2. Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 13:47

    Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die gewünschten Zertifikate zu importieren?

  3. Re: Zertifikate importieren?

    Autor: jayrworthington 17.03.11 - 14:02

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die
    > gewünschten Zertifikate zu importieren?

    Ja, waere es. Nur, wie? Die HP iLO interfaces haben alle dasselbe zertifikat vorinstalliert, wenn man also EINMAL ein zertifikat von irgendeinem iLO gespeichert hat, kommt man auf keines mehr drauf.

    Und selbst wenn man sich dann voriges Geld hat, und man fuer mehrere tausend Server ein sinnloses (weil nicht benoetigt) Zertifikat kaufen wuerde koennte man das nicht, weil iLO <2 nur md5 csr's generieren koennen, die keine offizielle CA mehr akzeptiert.

    Die einzige (funktionerende) Variante waere jetzt also, nur deswegen eine komplette, veraltete (md5) CA aufsetzen, fuer jedes iLo ein unique Cert generieren und installieren - weil Mozilla mit der Brechstange ihre politische ansicht von SSL durchdrucken wollen, fuer Server in einem Managment-Netz auf das man nur von Sysadmin-Systemen im Intranet draufkommt...

    Von irgendwelchen Noobs wird sicher jetzt dann die Antwort kommen, "halt die iLo updaten", "halt die Server auswechseln", haha, luuuuuustig, wegen Mozilla's sturheit Millionen ausgeben, jaja, sicher, unsere Buchhaltung hat immer ein paar Samurai Schwerter griffbereit fuer solche ********....

    Schlussendlich bleibts halt deswegen beim IE, schade, eine about:config-option wuerde das problem loesen, aber neiiiiiin....



    2 mal bearbeitet, zuletzt am 17.03.11 14:06 durch jayrworthington.

  4. Re: Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 14:08

    Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo der Fehler liegt:

    1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind. Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat versieht.
    2. All diese Zertifikate haben hoffentlich eine einheitliche CA.
    3. Ihr importiert diese CA in Firefox' CertStore.
    4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles ist gut.

    Was ist hier falsch?

  5. Re: Zertifikate importieren?

    Autor: jayrworthington 22.03.11 - 17:10

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo
    > der Fehler liegt:
    >
    > 1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind.
    > Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat
    > versieht.

    Nein. Wir haben alle moeglichen iLO's (das sind die HP-Managment-Webinterfaces, auf denen man die Server ein/ausschalten und KVM machen kann, auch wenn das OS noch nicht installiert/funktionierend ist), die alle dasselbe Zertifikat von HP vorinstalliert haben, ueberall mit derselben Seriennummer.

    > 2. All diese Zertifikate haben hoffentlich eine einheitliche CA.

    Ja, eine B-Cert von HP

    > 3. Ihr importiert diese CA in Firefox' CertStore.

    Ne, denn dann beginnen die probleme.

    > 4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles
    > ist gut.

    Nein.

    > Was ist hier falsch?

    Genau mein Problem: Solange Du nur EIN Zertifkat mit Seriennummer x hast, ist alles ok und es funktioniert genau so wie Du meinst. Jetzt gehst Du aber auf einen zweiten Server auf einer anderen IP, dessen Zertifikat dieselbe Seriennummer hat, kannst aber nicht drauf, weil Dir Firefox JEGLICHEN Zugriff auf diese Seite verweigert, es gibt keinen "ja du daemliches stueck s******e, ich weiss das die serial reused ist, STIRB ENDLICH!!!!"-Knopf, Menuuption, keine about:config option, nix, Du hast keine Chance(*) auf die Seite zu kommen - weil Mozilla findet das Du das nicht zu tun hast, solche zerts sind boese.

    Wohlbemerkt, das ist nicht ein bug, das ist ein von Mozilla GEWOLLTES "feature" - die Foren sind voll von beschwerden, sie werden ignoriert, topics geloescht/geschlossen und feature-requests (!) fuer eine hidden-config-option (!!) mit fixfertigem, getesteten (!!!) patch auf wontfix gesetzt oder ebenfalls gleich geloescht.

    Das ist ein gebaren wie ich's von Apple erwarte, nicht von Mozilla, nichtmal Microsoft traut sich sowas.

    Endresultat ist jedenfalls das wir hier (nationaler Carrier, >20'000 PC-Arbeitstationen) unter anderem deswegen IE6/7 benutzen (muessen) und nicht Firefox. Well done, 'zilla, scheinbar isses euch egal ob IE oder Firefox benutzt wird, kostet ja auch nix.


    (*) Du kannst das zertifikat *UND* dessen verstecktes noname Root-Cert manuell loeschen und Firefox restarten. Und das bitte JEDESMAL wenn Du wieder auf eine dupe-serial-seite willst, wir haben davon ja auch nur knapp 2000....

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. HUK-COBURG Versicherungsgruppe, Coburg
  2. ID-ware Deutschland GmbH, Rüsselsheim
  3. Bechtle Onsite Services GmbH, München
  4. Evonik Resource Efficiency GmbH, Essen, Hanau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 849,00€ (UVP € 1.298,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

  1. FTTH: Bauern am Glasfaserpflug arbeiten mit Netzbetreibern
    FTTH
    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

    In einem großen Ausbauprojekt im ländlichen Raum Nordrhein-Westfalens sind Unitymedia, Muenet und Bauern beteiligt. Ohne deren Engagement gäbe es kein FTTH in den Randgebieten.

  2. BGP-Hijacking: Traffic von Google, Facebook & Co. über Russland umgeleitet
    BGP-Hijacking
    Traffic von Google, Facebook & Co. über Russland umgeleitet

    Mit Hilfe einer falschen BGP-Konfiguration hat ein bisher unbekannter russischer Internetprovider für einen kurzen Zeitraum den Internetverkehr großer Unternehmen über russische Server umgeleitet. So könnten terabyteweise Daten abgeschöpft worden sein.

  3. 360-Grad-Kameras im Vergleich: Alles so schön rund hier
    360-Grad-Kameras im Vergleich
    Alles so schön rund hier

    Noch mehr Action sollen 360-Grad-Kameras bieten: Mit ihren zwei Linsen nehmen sie die ganze Welt um den Fotografen oder Filmer herum auf. Wir haben drei aktuelle dieser Kameras von Gopro, Kodak und Ricoh getestet und festgestellt, dass die teuerste nicht immer die beste ist.


  1. 13:00

  2. 12:41

  3. 12:04

  4. 11:44

  5. 11:30

  6. 10:48

  7. 10:26

  8. 10:20