1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Browser: Das ist neu bei Firefox 4

SSL immer noch "kaputt"...

  1. Thema

Neues Thema Ansicht wechseln


  1. SSL immer noch "kaputt"...

    Autor: jayrworthington 17.03.11 - 13:34

    ... und NewMITM funktioniert "zufaellig" nichtmehr. Tja, bleiben wir halt weiterhin beim IE (Firma mit 25'000 Desktops/Notebooks) wenn wir wegen politik keine iLO's benutzen koennen mit Firefox...

  2. Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 13:47

    Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die gewünschten Zertifikate zu importieren?

  3. Re: Zertifikate importieren?

    Autor: jayrworthington 17.03.11 - 14:02

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Korrigier mich, aber wäre der richtige und sinnvollere Weg nicht die
    > gewünschten Zertifikate zu importieren?

    Ja, waere es. Nur, wie? Die HP iLO interfaces haben alle dasselbe zertifikat vorinstalliert, wenn man also EINMAL ein zertifikat von irgendeinem iLO gespeichert hat, kommt man auf keines mehr drauf.

    Und selbst wenn man sich dann voriges Geld hat, und man fuer mehrere tausend Server ein sinnloses (weil nicht benoetigt) Zertifikat kaufen wuerde koennte man das nicht, weil iLO <2 nur md5 csr's generieren koennen, die keine offizielle CA mehr akzeptiert.

    Die einzige (funktionerende) Variante waere jetzt also, nur deswegen eine komplette, veraltete (md5) CA aufsetzen, fuer jedes iLo ein unique Cert generieren und installieren - weil Mozilla mit der Brechstange ihre politische ansicht von SSL durchdrucken wollen, fuer Server in einem Managment-Netz auf das man nur von Sysadmin-Systemen im Intranet draufkommt...

    Von irgendwelchen Noobs wird sicher jetzt dann die Antwort kommen, "halt die iLo updaten", "halt die Server auswechseln", haha, luuuuuustig, wegen Mozilla's sturheit Millionen ausgeben, jaja, sicher, unsere Buchhaltung hat immer ein paar Samurai Schwerter griffbereit fuer solche ********....

    Schlussendlich bleibts halt deswegen beim IE, schade, eine about:config-option wuerde das problem loesen, aber neiiiiiin....



    2 mal bearbeitet, zuletzt am 17.03.11 14:06 durch jayrworthington.

  4. Re: Zertifikate importieren?

    Autor: Hans Schmucker 17.03.11 - 14:08

    Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo der Fehler liegt:

    1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind. Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat versieht.
    2. All diese Zertifikate haben hoffentlich eine einheitliche CA.
    3. Ihr importiert diese CA in Firefox' CertStore.
    4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles ist gut.

    Was ist hier falsch?

  5. Re: Zertifikate importieren?

    Autor: jayrworthington 22.03.11 - 17:10

    Hans Schmucker schrieb:
    --------------------------------------------------------------------------------
    > Ich geb ganz ehrlich zu: ich kapier das Problem nicht... bitte sag mir wo
    > der Fehler liegt:
    >
    > 1. Ihr habt im Netzwerk alle möglichen Seiten die selbst signiert sind.
    > Vieleicht sogar ein Proxy der alles mit seinem eigenen Zertifikat
    > versieht.

    Nein. Wir haben alle moeglichen iLO's (das sind die HP-Managment-Webinterfaces, auf denen man die Server ein/ausschalten und KVM machen kann, auch wenn das OS noch nicht installiert/funktionierend ist), die alle dasselbe Zertifikat von HP vorinstalliert haben, ueberall mit derselben Seriennummer.

    > 2. All diese Zertifikate haben hoffentlich eine einheitliche CA.

    Ja, eine B-Cert von HP

    > 3. Ihr importiert diese CA in Firefox' CertStore.

    Ne, denn dann beginnen die probleme.

    > 4. Von dieser CA ausgestellte Zertifikate werden durchgelassen und alles
    > ist gut.

    Nein.

    > Was ist hier falsch?

    Genau mein Problem: Solange Du nur EIN Zertifkat mit Seriennummer x hast, ist alles ok und es funktioniert genau so wie Du meinst. Jetzt gehst Du aber auf einen zweiten Server auf einer anderen IP, dessen Zertifikat dieselbe Seriennummer hat, kannst aber nicht drauf, weil Dir Firefox JEGLICHEN Zugriff auf diese Seite verweigert, es gibt keinen "ja du daemliches stueck s******e, ich weiss das die serial reused ist, STIRB ENDLICH!!!!"-Knopf, Menuuption, keine about:config option, nix, Du hast keine Chance(*) auf die Seite zu kommen - weil Mozilla findet das Du das nicht zu tun hast, solche zerts sind boese.

    Wohlbemerkt, das ist nicht ein bug, das ist ein von Mozilla GEWOLLTES "feature" - die Foren sind voll von beschwerden, sie werden ignoriert, topics geloescht/geschlossen und feature-requests (!) fuer eine hidden-config-option (!!) mit fixfertigem, getesteten (!!!) patch auf wontfix gesetzt oder ebenfalls gleich geloescht.

    Das ist ein gebaren wie ich's von Apple erwarte, nicht von Mozilla, nichtmal Microsoft traut sich sowas.

    Endresultat ist jedenfalls das wir hier (nationaler Carrier, >20'000 PC-Arbeitstationen) unter anderem deswegen IE6/7 benutzen (muessen) und nicht Firefox. Well done, 'zilla, scheinbar isses euch egal ob IE oder Firefox benutzt wird, kostet ja auch nix.


    (*) Du kannst das zertifikat *UND* dessen verstecktes noname Root-Cert manuell loeschen und Firefox restarten. Und das bitte JEDESMAL wenn Du wieder auf eine dupe-serial-seite willst, wir haben davon ja auch nur knapp 2000....

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Württembergische Gemeinde-Versicherung a.G., Stuttgart
  2. HABA Group B.V. & Co. KG, Bad Rodach
  3. Howmet Fastening Systems / Fairchild Fasteners Europe - Camloc GmbH, Kelkheim (Taunus)
  4. Frankfurter Dienstleistungsholding GmbH, Frankfurt (Oder)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 10,89€ (ohne Prime oder unter 29€ zzgl. Versand)
  2. (u. a. MSI GeForce RTX 2060 SUPER Ventus GP OC für 409€, Zotac Gaming GeForce GTX 1650 SUPER...
  3. (aktuell u. a. Samsung Portable SSD T5 für 149€ und TP-Link M7350 für 59,99€ inkl...
  4. (heute u. a. Acer H6535i FHD-Beamer für 449€ statt 568,98€ im Vergleich, Lenovo Smart Display...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Starsky Robotics: Woran ein Startup für autonome Lkw gescheitert ist
Starsky Robotics
Woran ein Startup für autonome Lkw gescheitert ist

Der Gründer eines Startups für selbstfahrende Lkw hält die Technik noch lange nicht für praxistauglich.
Ein Bericht von Friedhelm Greis

  1. Neue Prioritäten Daimler setzt beim autonomen Fahren zuerst auf Lkw
  2. Autonomes Fahren AutoX und Fiat planen autonome Taxis in China
  3. Human Drive Autonomer Nissan Leaf fährt durch Großbritannien

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

Disney+ im Test: Ein Fest für Filmfans
Disney+ im Test
Ein Fest für Filmfans

Wir haben Disney+ vor dem Deutschlandstart getestet und sind begeistert. Das Abo ist perfekt für Familien mit Schulkindern. Filmfans können sich über Bonusmaterial freuen, das Amazon Prime Video, Netflix und Sky gar nicht kennen.
Ein Test von Ingo Pakalski

  1. Disney+ The Mandalorian gibt es in Deutschland im Wochenturnus
  2. Rabatte für Disney+ Disney erlaubt Aussetzen des vergünstigten Jahresabos
  3. Netflix-Konkurrenz Disney+ für Telekom-Kunden ein halbes Jahr gratis

  1. Recht auf Vergessenwerden: Französisches Gericht kassiert Strafe gegen Google
    Recht auf Vergessenwerden
    Französisches Gericht kassiert Strafe gegen Google

    Im Streit um das sogenannte Recht auf Vergessenwerden hat das oberste Verwaltungsgericht in Frankreich ein altes Urteil gegen Google widerrufen.

  2. SpaceX: DragonXL soll Raumstation im Mondorbit versorgen
    SpaceX
    DragonXL soll Raumstation im Mondorbit versorgen

    Größere Frachter sollen mit größeren Raketen eine kleinere Raumstation versorgen, die weiter weg ist. SpaceX bekommt einen Teil eines 7-Milliarden-Dollar-Auftrags.

  3. Coronavirus: Google stellt Millionenbeträge für Unternehmen zur Verfügung
    Coronavirus
    Google stellt Millionenbeträge für Unternehmen zur Verfügung

    Insgesamt 800 Millionen US-Dollar stellt Google für Unternehmen und die WHO in Form von Fonds und Gutschriften für Werbeanzeigen zur Verfügung.


  1. 14:42

  2. 13:56

  3. 13:00

  4. 12:07

  5. 18:41

  6. 15:02

  7. 14:53

  8. 12:17