Abo
  1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Browser: Das ist neu bei Firefox 4

SSL immer noch "kaputt"...

  1. Thema

Neues Thema Ansicht wechseln


  1. SSL immer noch "kaputt"...

    Autor: jayrworthington 17.03.11 - 13:34

    ... und NewMITM funktioniert "zufaellig" nichtmehr. Tja, bleiben wir halt weiterhin beim IE (Firma mit 25'000 Desktops/Notebooks) wenn wir wegen politik keine iLO's benutzen koennen mit Firefox...

  2. Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 13:47

    Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die gewünschten Zertifikate zu importieren?

  3. Re: Zertifikate importieren?

    Autor: jayrworthington 17.03.11 - 14:02

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die
    > gewünschten Zertifikate zu importieren?

    Ja, waere es. Nur, wie? Die HP iLO interfaces haben alle dasselbe zertifikat vorinstalliert, wenn man also EINMAL ein zertifikat von irgendeinem iLO gespeichert hat, kommt man auf keines mehr drauf.

    Und selbst wenn man sich dann voriges Geld hat, und man fuer mehrere tausend Server ein sinnloses (weil nicht benoetigt) Zertifikat kaufen wuerde koennte man das nicht, weil iLO <2 nur md5 csr's generieren koennen, die keine offizielle CA mehr akzeptiert.

    Die einzige (funktionerende) Variante waere jetzt also, nur deswegen eine komplette, veraltete (md5) CA aufsetzen, fuer jedes iLo ein unique Cert generieren und installieren - weil Mozilla mit der Brechstange ihre politische ansicht von SSL durchdrucken wollen, fuer Server in einem Managment-Netz auf das man nur von Sysadmin-Systemen im Intranet draufkommt...

    Von irgendwelchen Noobs wird sicher jetzt dann die Antwort kommen, "halt die iLo updaten", "halt die Server auswechseln", haha, luuuuuustig, wegen Mozilla's sturheit Millionen ausgeben, jaja, sicher, unsere Buchhaltung hat immer ein paar Samurai Schwerter griffbereit fuer solche ********....

    Schlussendlich bleibts halt deswegen beim IE, schade, eine about:config-option wuerde das problem loesen, aber neiiiiiin....



    2 mal bearbeitet, zuletzt am 17.03.11 14:06 durch jayrworthington.

  4. Re: Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 14:08

    Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo der Fehler liegt:

    1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind. Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat versieht.
    2. All diese Zertifikate haben hoffentlich eine einheitliche CA.
    3. Ihr importiert diese CA in Firefox' CertStore.
    4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles ist gut.

    Was ist hier falsch?

  5. Re: Zertifikate importieren?

    Autor: jayrworthington 22.03.11 - 17:10

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo
    > der Fehler liegt:
    >
    > 1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind.
    > Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat
    > versieht.

    Nein. Wir haben alle moeglichen iLO's (das sind die HP-Managment-Webinterfaces, auf denen man die Server ein/ausschalten und KVM machen kann, auch wenn das OS noch nicht installiert/funktionierend ist), die alle dasselbe Zertifikat von HP vorinstalliert haben, ueberall mit derselben Seriennummer.

    > 2. All diese Zertifikate haben hoffentlich eine einheitliche CA.

    Ja, eine B-Cert von HP

    > 3. Ihr importiert diese CA in Firefox' CertStore.

    Ne, denn dann beginnen die probleme.

    > 4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles
    > ist gut.

    Nein.

    > Was ist hier falsch?

    Genau mein Problem: Solange Du nur EIN Zertifkat mit Seriennummer x hast, ist alles ok und es funktioniert genau so wie Du meinst. Jetzt gehst Du aber auf einen zweiten Server auf einer anderen IP, dessen Zertifikat dieselbe Seriennummer hat, kannst aber nicht drauf, weil Dir Firefox JEGLICHEN Zugriff auf diese Seite verweigert, es gibt keinen "ja du daemliches stueck s******e, ich weiss das die serial reused ist, STIRB ENDLICH!!!!"-Knopf, Menuuption, keine about:config option, nix, Du hast keine Chance(*) auf die Seite zu kommen - weil Mozilla findet das Du das nicht zu tun hast, solche zerts sind boese.

    Wohlbemerkt, das ist nicht ein bug, das ist ein von Mozilla GEWOLLTES "feature" - die Foren sind voll von beschwerden, sie werden ignoriert, topics geloescht/geschlossen und feature-requests (!) fuer eine hidden-config-option (!!) mit fixfertigem, getesteten (!!!) patch auf wontfix gesetzt oder ebenfalls gleich geloescht.

    Das ist ein gebaren wie ich's von Apple erwarte, nicht von Mozilla, nichtmal Microsoft traut sich sowas.

    Endresultat ist jedenfalls das wir hier (nationaler Carrier, >20'000 PC-Arbeitstationen) unter anderem deswegen IE6/7 benutzen (muessen) und nicht Firefox. Well done, 'zilla, scheinbar isses euch egal ob IE oder Firefox benutzt wird, kostet ja auch nix.


    (*) Du kannst das zertifikat *UND* dessen verstecktes noname Root-Cert manuell loeschen und Firefox restarten. Und das bitte JEDESMAL wenn Du wieder auf eine dupe-serial-seite willst, wir haben davon ja auch nur knapp 2000....

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Robert Bosch GmbH, Wetzlar
  2. Robert Bosch GmbH, Schwieberdingen
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. SSI SCHÄFER IT Solutions GmbH, Giebelstadt bei Würzburg, Dortmund, Bremen, Oberviechtach, Regensburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  2. Nasa 2020 soll ein Helikopter zum Mars fliegen
  3. Raumfahrt Nasa startet neue Beobachtungssonde Tess

  1. Grafikkarten: Virtual Link via USB-C für Next-Gen-Headsets
    Grafikkarten
    Virtual Link via USB-C für Next-Gen-Headsets

    Ein Standard namens Virtual Link nutzt USB-C und ist für künftige VR-Headsets gedacht. Virtual Link schafft 4K pro Auge bei 120 Hz, zuerst dürfte er bei Nvidias Turing-Grafikkarten verbaut sein. Das Konsortium hinter Virtual Link besteht bisher aus fünf sehr großen Partnern.

  2. IETF: "Älteste des Internets" entschuldigen sich für Social Media
    IETF
    "Älteste des Internets" entschuldigen sich für Social Media

    In einem offensichtlich nicht ganz ernst gemeinten Vorschlag der IETF entschuldigen sich die "Ältesten des Internets" für die Unannehmlichkeiten heutiger sozialer Netzwerke. Als Hilfe schlagen sie Memes, Blocklisten und Whisky vor.

  3. App für öffentlichen Nahverkehr: Öffi ist Open Source geworden
    App für öffentlichen Nahverkehr
    Öffi ist Open Source geworden

    Von der beliebten ÖPNV-App Öffi gibt es eine Open-Source-Version, die in Kürze über F-Droid direkt angeboten wird. Derweil geht der Streit zwischen dem Öffi-Entwickler und Google weiter. Bald sollte Öffi aber auch wieder im Play Store bereitstehen.


  1. 15:00

  2. 14:58

  3. 14:48

  4. 14:26

  5. 12:33

  6. 12:06

  7. 11:53

  8. 11:47