ComputerBase Menü
Aktuelles

https-Sitzungen z.Zt. Welche Einstellung bei KIS im Zusammenhang mit Firefox (41.01)?

goruhl

goruhl

Ensign
Registriert
Nov. 2012
Beiträge
144
Hallo zusammen.

Vielleicht suche ich nicht ausreichend hierzu im Internet, jedoch komme ich mit den Suchseiten nicht weiter.

Habe hier firefox 41.0x und kann keine google-Seiten aufrufen. Zertifikatsfehler, wobei ich die unsichere Seite auch nicht zulassen kann (Ich kenne das Risiko-Knopp).
Allerdigns vermute ich einen Zusammenhang zum KIS 2015 (16.0.0.614)

Wer kann mir hierzu einen Tipp geben?

Gruß,
Gorden.
 
deinDadseinFrau schrieb:
Ja, der war nicht schlecht :-)

Ich bin ja nicht so:
http://support.kaspersky.com/de/10989
Zum Vergrößern anklicken....
Na, so einfach ist das vielleicht doch nicht. Die KAV-Seite kenne ich. Es ist kein allg. Problem mit SSL: Probleme nur in Verbindung mit FireFox; Andere Seiten funktionieren - soweit ich das testen konnt. Z.B. Postbank: Funktioniert. https von web.de.
Bei google fehlt die Möglichkeit, das unsichere Zertifikat dennoch zuzulassen.
Ob das jetzt wirklich an KIS liegt war nur meine Vermutung - aber auch nur in Verbindung mit Firefox. chrome o.ä. - kein Problem.
 
Doch, das liegt ziemlich sicher an KIS ;)
Versuch mal über about:config den Eintrag security.cert_pinning.enforcement_level auf 0 zu setzen (ich würde aber den default Wert 1 oder 2 als dauerhafte Lösung empfehlen).

Das es im Chrome geht, heißt wohl, dass Chrome nicht unterstützt wird von KIS(?)

Sollte Google danach wieder gehen liegt es an dem SSL-Scanner von KIS:
Firefox verwendet das sogenannte Key-Pinning, dh der Firefox weiß, welche CA ein gültiges TLS-/SSL-Zertifikat für google.de ausstellen darf.
Die KIS setzt sich aber als Man in the Middle dazwischen und umgeht die Verschlüsselung mit seinem eigenen Zertifikat.
Das zertifikat ist natürlich nicht von der gleichen CA wie das zertifikat von google ausgestellt (genauer: Eher von gar keiner) und damit nicht gültig.
Ergebnis: Die Verbindung wird mit verdacht auf einen man in the middle Angriff unterbrochen.

Sollte die Theorie stimmen und die Implementierung so weit sein, wie ich denke/hoffe, dürftest du übrings nicht nur bei Google Probleme haben, sondern auch bei bei allen Seiten, die irgendwie nach Google aussehen und hier aufgeführt sind, dazu
*.addons.mozilla.org, *.addons.mozilla.net, *.cdn.mozilla.{org,net}, *.media.mozilla.com, twitter.com, *.twitter.com
*.accounts.firefox.com, www.dropbox.com, dropbox.com
und einige andere.
 
Der-Orden-Xar schrieb:
Doch, das liegt ziemlich sicher an KIS ;)
Versuch mal über about:config den Eintrag security.cert_pinning.enforcement_level auf 0 zu setzen (ich würde aber den default Wert 1 oder 2 als dauerhafte Lösung empfehlen).

Das es im Chrome geht, heißt wohl, dass Chrome nicht unterstützt wird von KIS(?)
Zum Vergrößern anklicken....

Nach der Änderung des von Dir beschriebenen Wertes erhalte ich den Hinweis auf einer nicht vertrauenswürdige Verbindung. Aber... Ich kann sie zulassen.
Chrome: Auch hier ist KIS implementiert und da das Addon akzeptiert wird, demnach Versionstechnisch auch kompatibel.

Jetzt, wo sich durch die Wertänderung auf "0" die Lösungsrichtung aufzeigt: Was soll ich nun machen? Den Wert auf "0" stehen lassen ist sicherlich nicht die Lösung.
Groden.
 
Der Wert 0 deaktiviert das Key-Pinning, bzw macht die Warnung umgehbar wie du gemerkt hast.
1 (Standard) sollte das Pinning deaktivieren, für von dir selbst gestartete Man-in-the-middle Angriffe, das heißt wenn KIS dir ein Root-Zertifikat zum exportieren und anschließendem importieren in die Firefox-CA-Liste gibt sollte es funktionieren (rein theoretisch, ich selbst habe keinen SSL-Scanner zum testen hier) - wobei Google gerade sagt, dass das wohl eher nicht funktionieren wird.
2 würde das Pinning ganz scharf schalten.

Das entscheidende dabei:
Entweder du nutzt das Pinning, müsstest aber um einige Dienste zu nutzen den SSL-Scanner deaktivieren.
Oder du denkst dir "was verschlüsselt ist soll auch KIS nicht einfach so entschlüsseln" und deaktivierst den SSL-Scanner.
 
Danke für die umfangreiche Erklärung. Ich werden den SSL-Sc. deaktivieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz