Firefox 56: Fehlermeldung wegen Zertifikat
- Ersteller Black Lion
- Erstellt am
Falls es nochmal auftreten sollte und man nicht in der about:config herumpfuschen will, kann man OCSP auch einfach komplett ausschalten.
Einstellungen --> Datenschutz & Sicherheit --> Sicherheit --> Zertifikate --> "Aktuelle Gültigkeit durch Anfrage bei OCSP-Server bestätigen lassen" den Haken weg nehmen.
Man kann auch in der Einstellungssuche das Zauberwort "OCSP" eingeben, dann kommt es sofort; Aber ich denke nicht, dass ich das in einem halben Jahr noch weiß...
Da OCSP der Sicherheit dient, sollte man es irgendwann aber wieder anschalten. Manchmal geht Dringlichkeit aber vor Sicherheit.
Einstellungen --> Datenschutz & Sicherheit --> Sicherheit --> Zertifikate --> "Aktuelle Gültigkeit durch Anfrage bei OCSP-Server bestätigen lassen" den Haken weg nehmen.
Man kann auch in der Einstellungssuche das Zauberwort "OCSP" eingeben, dann kommt es sofort; Aber ich denke nicht, dass ich das in einem halben Jahr noch weiß...
Da OCSP der Sicherheit dient, sollte man es irgendwann aber wieder anschalten. Manchmal geht Dringlichkeit aber vor Sicherheit.
blacky3105
Lt. Junior Grade
- Registriert
- März 2017
- Beiträge
- 378
Nachtrag: heute Morgen habe ich die Einstellung im Browser security.ssl.enable_ocsp_stapling wieder auf true gestellt, so wie es war und wohl auch sein soll. Und heute Morgen gibt es keine Probleme bei Amazon. Ist es evt. denkbar, dass Amazon etwas "repariert" hat?
@blacky3105
Siehe oben, ist doch schon geklärt. Es lag sehr wahrscheinlich an einem Zertifikatsserver, an den die Anfrage geschickt wird, ob das vorhandene Zertifikat noch gültig ist und nicht am Firefox. Wenn der Server keine passende Antwort liefert, ist das Zertifikat ungültig und du kriegst nen Fehler.
Umgehen kannst du den Fehler, indem du den Sicherheitscheck abschaltest.
Amazon selbst ist zwar groß aber auch die haben keine eigene Zertifizierungsstelle, sind daher vermutlich auch unschuldig.
Siehe oben, ist doch schon geklärt. Es lag sehr wahrscheinlich an einem Zertifikatsserver, an den die Anfrage geschickt wird, ob das vorhandene Zertifikat noch gültig ist und nicht am Firefox. Wenn der Server keine passende Antwort liefert, ist das Zertifikat ungültig und du kriegst nen Fehler.
Umgehen kannst du den Fehler, indem du den Sicherheitscheck abschaltest.
Amazon selbst ist zwar groß aber auch die haben keine eigene Zertifizierungsstelle, sind daher vermutlich auch unschuldig.
blacky3105
Lt. Junior Grade
- Registriert
- März 2017
- Beiträge
- 378
Nun, das Wichtigste ist, dass es funktioniert. Könnte mir doofen Unwissendem jemand mal erklären wasund wofür diese Einstellung im Browser security.ssl.enable_ocsp_stapling ist und was Ich da mit true/false ändere
DANKE!!
DANKE!!
Wikipedia erklärt das doch ganz gut:
Also kann Amazon dank stapling doch selbst zertifizieren und könnte Schuld haben (war mir nicht bekannt, hatte mich nur über OCSP informiert), allerdings ist jede Sicherheit immer nur so stark wie ihr schwächstes Glied und wenn irgendwo was nicht passt, wird eben auch keine sichere Verbindung aufgebaut. Selbst ganz normale Seitenaufrufe gehen ja schon über etliche Server, bis etwas bei dir ankommt.
Mit true/false schaltest du die Möglichkeit an oder aus, dass stapling verwendet wird. Was mich wundert ist, dass es keinen Fehler gab, in dem man z.B. einfach eine Ausnahme hinzufügen könnte. Aber die werden sich schon was dabei gedacht haben. Ich weiß nicht exakt wie die ganze Zertifikate hin- und herschickerei und validierung abläuft, es gibt ja inzwischen zig Standards.
Ist unter anderem eine Folge des Heartbleed-Bugs (siehe dazu Heise Artikel von 2014, in dem OCSP stapling als "Alternative [Lösung]" genannt wird und noch nicht verbreitet war)
Also kann Amazon dank stapling doch selbst zertifizieren und könnte Schuld haben (war mir nicht bekannt, hatte mich nur über OCSP informiert), allerdings ist jede Sicherheit immer nur so stark wie ihr schwächstes Glied und wenn irgendwo was nicht passt, wird eben auch keine sichere Verbindung aufgebaut. Selbst ganz normale Seitenaufrufe gehen ja schon über etliche Server, bis etwas bei dir ankommt.
Mit true/false schaltest du die Möglichkeit an oder aus, dass stapling verwendet wird. Was mich wundert ist, dass es keinen Fehler gab, in dem man z.B. einfach eine Ausnahme hinzufügen könnte. Aber die werden sich schon was dabei gedacht haben. Ich weiß nicht exakt wie die ganze Zertifikate hin- und herschickerei und validierung abläuft, es gibt ja inzwischen zig Standards.
Ist unter anderem eine Folge des Heartbleed-Bugs (siehe dazu Heise Artikel von 2014, in dem OCSP stapling als "Alternative [Lösung]" genannt wird und noch nicht verbreitet war)
blacky3105
Lt. Junior Grade
- Registriert
- März 2017
- Beiträge
- 378
Ja Wikipedia erklärt das ganz gut.
Nun Ich bin offenbar zu doof, um es voll und ganz zu kapieren. Macht nix. Und Schwurbel hat weiter oben geschrieben: "kann man OCSP auch einfach komplett ausschalten.
Einstellungen --> Datenschutz & Sicherheit --> Sicherheit --> Zertifikate --> "Aktuelle Gültigkeit durch Anfrage bei OCSP-Server bestätigen lassen" den Haken weg nehmen". Das hatte Ich versucht. Hat aber nicht funktioniert bei mir.
Nun Ich bin offenbar zu doof, um es voll und ganz zu kapieren. Macht nix. Und Schwurbel hat weiter oben geschrieben: "kann man OCSP auch einfach komplett ausschalten.
Einstellungen --> Datenschutz & Sicherheit --> Sicherheit --> Zertifikate --> "Aktuelle Gültigkeit durch Anfrage bei OCSP-Server bestätigen lassen" den Haken weg nehmen". Das hatte Ich versucht. Hat aber nicht funktioniert bei mir.
Hauro
Fleet Admiral
- Registriert
- Apr. 2010
- Beiträge
- 13.632
OCSP Stapling in Firefox [blog.mozilla.org. 29.07.2013]
Ohne Online Certificate Status Protocol Stapling (OCSP Stapling) fragt der Browser bei der Certification Authority (CA) nach, ob das Zertifikat gültig ist und nicht widerrufen wurde.
[Quelle: OCSP Stapling in Firefox]
Mit OCSP Stapling fragt die Seite bei der CA periodischen nach, ob das Zertifikat gültig ist und nicht widerrufen wurde.
[Quelle: OCSP Stapling in Firefox]
Den Status der CA sendet die Seite zusammen mit dem Zertifikat an den Browser zurück.
[Quelle: OCSP Stapling in Firefox]
Für den Browser hat dies den Vorteil, dass er nicht selber bei der CA nachfragen muss, ob ein Zertifikat noch gültig ist.
Ist der OCSP-Server nicht verfügbar, kann ein Zertifikat nicht überprüft werden. Sobald der OCSP-Server wieder verfügbar ist, kann die Seite oder der Browser ein Zertifikat bei der CA wieder überprüfen. Sollte die gewählte Periode so lang sein, dass die Seite kein Ergebnis zusammen mit der Zertifikat liefern kann, kommt es zur Fehler-Meldung. Die Deaktivierung des OCSP Stapling sorgt dafür, dass der Browser selber bei der CA anfragt ob das Zertifikat gültig ist.
Ohne Online Certificate Status Protocol Stapling (OCSP Stapling) fragt der Browser bei der Certification Authority (CA) nach, ob das Zertifikat gültig ist und nicht widerrufen wurde.
[Quelle: OCSP Stapling in Firefox]
Mit OCSP Stapling fragt die Seite bei der CA periodischen nach, ob das Zertifikat gültig ist und nicht widerrufen wurde.
[Quelle: OCSP Stapling in Firefox]
Den Status der CA sendet die Seite zusammen mit dem Zertifikat an den Browser zurück.
[Quelle: OCSP Stapling in Firefox]
Für den Browser hat dies den Vorteil, dass er nicht selber bei der CA nachfragen muss, ob ein Zertifikat noch gültig ist.
Ist der OCSP-Server nicht verfügbar, kann ein Zertifikat nicht überprüft werden. Sobald der OCSP-Server wieder verfügbar ist, kann die Seite oder der Browser ein Zertifikat bei der CA wieder überprüfen. Sollte die gewählte Periode so lang sein, dass die Seite kein Ergebnis zusammen mit der Zertifikat liefern kann, kommt es zur Fehler-Meldung. Die Deaktivierung des OCSP Stapling sorgt dafür, dass der Browser selber bei der CA anfragt ob das Zertifikat gültig ist.
Zuletzt bearbeitet:
(Ergebmis)
blacky3105
Lt. Junior Grade
- Registriert
- März 2017
- Beiträge
- 378
Danke!! jetzt habe Ich es kapiert
Die Konkurrenz hat heute einen kurzen Artikel drin
http://www.giga.de/downloads/mozill...-ocsp-invalid-signing-cert-loesung-bedeutung/
http://www.giga.de/downloads/mozill...-ocsp-invalid-signing-cert-loesung-bedeutung/
Ähnliche Themen
