Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Browser: Das ist neu bei Firefox 4

SSL immer noch "kaputt"...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. SSL immer noch "kaputt"...

    Autor: jayrworthington 17.03.11 - 13:34

    ... und NewMITM funktioniert "zufaellig" nichtmehr. Tja, bleiben wir halt weiterhin beim IE (Firma mit 25'000 Desktops/Notebooks) wenn wir wegen politik keine iLO's benutzen koennen mit Firefox...

  2. Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 13:47

    Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die gewünschten Zertifikate zu importieren?

  3. Re: Zertifikate importieren?

    Autor: jayrworthington 17.03.11 - 14:02

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die
    > gewünschten Zertifikate zu importieren?

    Ja, waere es. Nur, wie? Die HP iLO interfaces haben alle dasselbe zertifikat vorinstalliert, wenn man also EINMAL ein zertifikat von irgendeinem iLO gespeichert hat, kommt man auf keines mehr drauf.

    Und selbst wenn man sich dann voriges Geld hat, und man fuer mehrere tausend Server ein sinnloses (weil nicht benoetigt) Zertifikat kaufen wuerde koennte man das nicht, weil iLO <2 nur md5 csr's generieren koennen, die keine offizielle CA mehr akzeptiert.

    Die einzige (funktionerende) Variante waere jetzt also, nur deswegen eine komplette, veraltete (md5) CA aufsetzen, fuer jedes iLo ein unique Cert generieren und installieren - weil Mozilla mit der Brechstange ihre politische ansicht von SSL durchdrucken wollen, fuer Server in einem Managment-Netz auf das man nur von Sysadmin-Systemen im Intranet draufkommt...

    Von irgendwelchen Noobs wird sicher jetzt dann die Antwort kommen, "halt die iLo updaten", "halt die Server auswechseln", haha, luuuuuustig, wegen Mozilla's sturheit Millionen ausgeben, jaja, sicher, unsere Buchhaltung hat immer ein paar Samurai Schwerter griffbereit fuer solche ********....

    Schlussendlich bleibts halt deswegen beim IE, schade, eine about:config-option wuerde das problem loesen, aber neiiiiiin....



    2 mal bearbeitet, zuletzt am 17.03.11 14:06 durch jayrworthington.

  4. Re: Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 14:08

    Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo der Fehler liegt:

    1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind. Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat versieht.
    2. All diese Zertifikate haben hoffentlich eine einheitliche CA.
    3. Ihr importiert diese CA in Firefox' CertStore.
    4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles ist gut.

    Was ist hier falsch?

  5. Re: Zertifikate importieren?

    Autor: jayrworthington 22.03.11 - 17:10

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo
    > der Fehler liegt:
    >
    > 1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind.
    > Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat
    > versieht.

    Nein. Wir haben alle moeglichen iLO's (das sind die HP-Managment-Webinterfaces, auf denen man die Server ein/ausschalten und KVM machen kann, auch wenn das OS noch nicht installiert/funktionierend ist), die alle dasselbe Zertifikat von HP vorinstalliert haben, ueberall mit derselben Seriennummer.

    > 2. All diese Zertifikate haben hoffentlich eine einheitliche CA.

    Ja, eine B-Cert von HP

    > 3. Ihr importiert diese CA in Firefox' CertStore.

    Ne, denn dann beginnen die probleme.

    > 4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles
    > ist gut.

    Nein.

    > Was ist hier falsch?

    Genau mein Problem: Solange Du nur EIN Zertifkat mit Seriennummer x hast, ist alles ok und es funktioniert genau so wie Du meinst. Jetzt gehst Du aber auf einen zweiten Server auf einer anderen IP, dessen Zertifikat dieselbe Seriennummer hat, kannst aber nicht drauf, weil Dir Firefox JEGLICHEN Zugriff auf diese Seite verweigert, es gibt keinen "ja du daemliches stueck s******e, ich weiss das die serial reused ist, STIRB ENDLICH!!!!"-Knopf, Menuuption, keine about:config option, nix, Du hast keine Chance(*) auf die Seite zu kommen - weil Mozilla findet das Du das nicht zu tun hast, solche zerts sind boese.

    Wohlbemerkt, das ist nicht ein bug, das ist ein von Mozilla GEWOLLTES "feature" - die Foren sind voll von beschwerden, sie werden ignoriert, topics geloescht/geschlossen und feature-requests (!) fuer eine hidden-config-option (!!) mit fixfertigem, getesteten (!!!) patch auf wontfix gesetzt oder ebenfalls gleich geloescht.

    Das ist ein gebaren wie ich's von Apple erwarte, nicht von Mozilla, nichtmal Microsoft traut sich sowas.

    Endresultat ist jedenfalls das wir hier (nationaler Carrier, >20'000 PC-Arbeitstationen) unter anderem deswegen IE6/7 benutzen (muessen) und nicht Firefox. Well done, 'zilla, scheinbar isses euch egal ob IE oder Firefox benutzt wird, kostet ja auch nix.


    (*) Du kannst das zertifikat *UND* dessen verstecktes noname Root-Cert manuell loeschen und Firefox restarten. Und das bitte JEDESMAL wenn Du wieder auf eine dupe-serial-seite willst, wir haben davon ja auch nur knapp 2000....

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  2. über Hays AG, Nordrhein-Westfalen
  3. Robert Bosch GmbH, Leonberg
  4. IT2media GmbH & Co.KG, Nürnberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 229,99€
  2. ab 799,90€
  3. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. U-Bahn: Telefónica baut BTS-Hotels im Berliner Untergrund
    U-Bahn
    Telefónica baut BTS-Hotels im Berliner Untergrund

    Die Einzelheiten über den längst fälligen Mobilfunk-Ausbau in der Berliner U-Bahn werden erst langsam öffentlich. Dank moderner Technik brauchen die Betreiber weniger Betriebsräume.

  2. Kabelnetz: Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen
    Kabelnetz
    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

    Besonders kleinere Kabelnetzbetreiber sollten statt Docsis 3.1 das Koaxialkabel direkt durch Glasfaser ersetzen. Das alte Koaxkabel bleibe sonst immer ein Flaschenhals.

  3. Virtuelle Güter: Activision patentiert Förderung von Mikrotransaktionen
    Virtuelle Güter
    Activision patentiert Förderung von Mikrotransaktionen

    Der Umsatz mit Mikrotransaktionen lässt sich durch einfache Tricks noch steigern - und Activision hat dafür nun ein Patent. Bislang kommt das System aber nach Angaben der Firma noch nicht zum Einsatz.


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16