HTTPS funktioniert nicht; «wird nicht vertratut» etc.

cumulonimbus8

Fleet Admiral
Registriert
Apr. 2012
Beiträge
18.345
Hallo!

Irgendwas hat ein Kollege seinem Rechner zugestoßen, angeblich nur längst nicht mehr erforderliche Mobilfunksticks (deren Software) entfernt. Backup gabs keins.

Resultat: kein Browser kann mehr HTTPS, Mailabruf bei der Telekom (weil - ist ja verschlüsselt) tut logischerweise auch nicht.

Wir haben nach seinen Recherchen zum Stichwort Zertifikate das SP3 überinstalliert, ich habe meine Zertifikate exportiert und dort importiert, wir waren bei Proxy, aber auch da tut sich in den Internetverbindungen offensichtlich nichts, allenfalls die 2 Wählverbindungen der Sticks habe ich noch entfernt. Firewall - nichts was HTTPS beförderte oder bremste.
So weit die Versuche mit dem Üblichen auf die Schnelle.

Hat jemand Ideen was wir noch versuchen können? Ich hab selbst solche Sticks und die wieder gefeuert, ohne Probleme. Ist vllt. irgendeine Software als auffällig bekannt?
Ein Huawei-Stick (bei mir) klemmt alle Netzwerkverbindungen ab und trägt sich wohl als Oberproxy ein, er startet sogar den IE zwecks Einwählen. Vielleicht nützte es was wenn man wüsste wo er was tut um mal nachzusehen?

CN8
 
Uhrzeit+Datum korrekt gesetzt? Mal nach gesetzten Proxies geschaut? -> Systemsteuerung -> Internetoptionen -> Verbindung
 
Als erstes sollte er sich mal von WinXP trennen, das behebt schon mal viele Fehler.
 
Warum jemand XP benutzt ist hier im XP-(zuständigen-)Forum so spannend wie der Zentralfriedhof von Wien bei Nacht.
Und es gibt mehr als nur einen einzigen Grund.


Zur Frage der Uhrzeit - hatte ich vergessen aufzuschreiben. Der Rechner tickt leider richtig; war mit das Erste was ich beim Stichwort Zertifikate geprüft hatte.

Wie gesagt klemmt HTTPS, typische Zertifikat-unültig-Meldungen (wie ich sie kenne) kommen nicht. Das muss was Anderes sein.

CN8


PS:
Mal nach gesetzten Proxies geschaut? -> Systemsteuerung -> Internetoptionen -> Verbindung
wir waren bei Proxy, aber auch da tut sich in den Internetverbindungen offensichtlich nichts
Alles klar..?
 
Hast du dir die Zertifikatfehler denn auch mal im Detail angesehen? "Geht nicht" ist eben keine Fehlerbeschreibung.
 
Es gibt keine expliziten Zertifikatsfehler wie «dieses oder jenes Zertifikat ist nicht in Ordnung» - es geht schlicht und einfach keine HTTPS-Seite mehr. Oder wenns sein muss kann ich auch ›funktioniert‹ statt ›geht‹ schreiben, oder ›wird nicht geladen‹. Ändert am Zustand nichts.

»Es wird dem Site-Betreiber nicht vertraut«, meldet Chrome sinngemäß - aber nicht warum; der IE gibt nur raus, dass eine Seite nicht angezeigt werden könne (›Verbindung prüfen, bla-bla-bla‹), und wieder nicht mit einer Spur eines Warum.

So ist der Stand - HTTPS-basierndes geht nicht mehr. Kurz & knack.

CN8
 
Ein "Es wird dem Betreiber nicht vertraut" lässt sich durchaus auch mit ein paar Klicks so erweitern, dass man DETAILS erfährt.

Ansonsten: Tja, XP halt. Kann auch durchaus sein, dass diese alte Mistkrücke gängige Verschlüsselungen nicht mehr unterstützt und du deshalb nirgendwo hin kommst.
Mach doch die Probe aufs Exempel: Live-Linux-CD einschieben und gucken.
 
Ist vielleicht ein Virenscanner installiert, der verschlüsselte Verbindungen scannt? Der hängt sich dann in die zu scannende Verbindung und schiebt der sein eigenes Zertifikat unter. Falls diese Funktion nicht mehr korrekt funktionieren sollte, wäre der Fehler erklärbar.
 
Das wird immer wilder…
Nun wurde FireFox installiert (erstmals!) und bei dem (im Gegensatz zu Chrome) funktioniert jetzt ein Klick auf «Mein eBay» [dafür tut WebEx nicht…]
Chrome scheint mit Stumpf und Stiel ausgerissen (ich muss das mal so glauben weil ich zwischen mehreren Stühlen hin und her sause, aber so nackt wie das aussieht…), reinstalliert und tut immer noch nicht.

Virenscanner ist Avast wie vorher, und den würde ich nicht verdächtigen. Wie eingangs erwähnt, irgendwelche Deinstallationen und Löschungen sind gewaltig in die Büx gegangen.

Dies ist keine sichere Verbindung

Unbefugte Dritte könnten versuchen, Ihre Informationen von signin.ebay.de zu stehlen, z. B. Passwörter, Nachrichten oder Kreditkartendaten. NET::ERR_CERT_INVALID
Sagt Google Chrome. Nur sagt Google Such nicht viel zu dem Error.

Ein "Es wird dem Betreiber nicht vertraut" lässt sich durchaus auch mit ein paar Klicks so erweitern, dass man DETAILS erfährt.
Halte mich nicht für blöde. Wenn das helfen würde würde niemand hier einen Thread eröffnen. Die Details sind so dermaßen inhaltslos…
signin.ebay.de schützt Ihre Daten in der Regel durch Verschlüsselung. Als Chrome dieses Mal versuchte, eine Verbindung zu signin.ebay.de herzustellen, gab die Website ungewöhnliche und falsche Anmeldedaten zurück. Entweder versucht ein Angreifer, sich als signin.ebay.de auszugeben, oder die Verbindung wurde durch eine WLAN-Anmeldeseite unterbrochen. Da Chrome die Verbindung vor dem Austausch von Daten unterbrochen hat, sind Ihre Daten weiterhin sicher.

Sie können signin.ebay.de zurzeit nicht aufrufen, weil die Website verschlüsselte Anmeldedaten gesendet hat, die von Chrome nicht verarbeitet werden können. Netzwerkfehler und Angriffe sind in der Regel nur vorübergehend, sodass die Seite wahrscheinlich später wieder funktioniert.

Was sind wir jetzt schlauer, nicht wahr? Wenn ich wüsste warum sie nicht verarbeitet werden können wäre das wenigstens mal eine Hilfe. Dies hier ist ausgedroschenes Stroh!

Ansonsten: Tja, XP halt. Kann auch durchaus sein, dass diese alte Mistkrücke gängige Verschlüsselungen nicht mehr unterstützt und du deshalb nirgendwo hin kommst.
Nada. Es liegt nicht an XP selbst sondern ausnahmsweise am User. Und auf Grund bestimmter Nöte (vielen Dank an Abwärtsinkompatibilitäten, MS!) muss es wohl bis an Ende der Tage XP bleiben.

CN8
 
Klick auf der (rote) Schloss in der Adressleiste, da kriegst du garantiert präzisere Zertifikat-Infos.
 
…auf so eine Idee muss man ja mal kommen wenn einen der Bildschirm so nett begrüßt… Das trommele ich mal weiter. Wird aber nix nützen, der Empfänger meetet gerade.

Überigens..: unsicher1.png - da bleibt mir denn doch die Spucke weg, grünes Schloss und doch unsicher. Tsss… Ich verliere langsam den Glauben ans Gute.

So Long
CN8


Nun weiß ich mehr. Viel mehr…
Das von Chrome für bei eBay als störend angeschwärzte Zertifikat ist offensichtlich (Seriennummer) dasselbe mit dem FireFox völlig zufrieden ist. Nach Screenshots müsste ich wortwörtlich annehmen, dass Chrome Zertifikate generell nicht verifizieren kann. Damit könnte ich den Fall ja zum Forum Online weiterleiten - oder ist da was anderes im Busche?
 
Zuletzt bearbeitet:
Lesen bildet!
Lies doch mal das, was da oben beim ROTEN Schloss steht. Denkst du, das ist korrekt so? Nein, ist es nicht. Warum sollte Avast eine Seite signieren, die von eBay kommt? Signierst du die Post, die dein Nachbar verschickt?

Evil E-Lex hatte genau den richtigen Riecher: Es ist mal wieder ein vollkommen bekloppter Virenscanner, der als Man-in-the-Middle fungiert und dabei die Sicherheit der Kommunikation mit Füßen tritt, weil er an den Zertifikaten herum pfuscht.
Einen Virenscanner, der so etwas macht, würde ich in hohem Bogen von der Festplatte tilgen.

Der korrekte Ablauf ist: Dein BROWSER fragt den SERVER, und erhält vom Server eine Antwort, die von einer vertrauenswürdigen Seite (einer CA) signiert wurde.
Dein Ablauf: Dein Browser will den Server fragen, der Virenscanner hängt sich rein wie ein Tauchsieder. Dein Browser kommuniziert verschlüsselt mit dem Virenscanner, der Virenscanner FÄLSCHT das Zertifikat des Servers, damit du gar nicht merkst, dass du nicht mit dem Server redest. Der Virenscanner redet dann mit dem Server... nachdem er deine Anfragen sowie die Antwort des Servers ausgiebig gelesen hat.
 
Ich will gerne empfehlen AVAST mal rauszunhmen.

Wo aber in meinem Screenshot was von AVAST steht wäre zu klären - aus welchen Fingern saugst du dir so eine Behauptung? Ich hatte AVAST oben längst dementiert.
Denn alles sonstige hier läuft mit AVAST, es lief hier und dort vorher mit AVAST und auch FF läuft dort nunmehr friedlich mit AVAST.


Eine Änderung wurde in Form einer Deinstallation (die ganz offensichtlich schief ging) vorgenommen, und die legt, wenigstens nun noch für Chrome, HTTPS lahm. Da dasselbe Zertifikat unter FF tut und in Chrome nicht ist es ja auch ganz sicher das Zertifikat.
Warum sollte es nun plötzlich AVAST sein?

CN8
 
Hi,

Ich hatte AVAST oben längst dementiert.

Was hast du wo "dementiert"? Zu schreiben

Virenscanner ist Avast wie vorher, und den würde ich nicht verdächtigen.

hat doch nichts mit "dementieren" zu tun, anscheinend ist dir nicht so klar, was "dementieren" bedeutet. Was genau möchtest du mit dem "dementieren" hier aussagen?

Wo aber in meinem Screenshot was von AVAST steht wäre zu klären - aus welchen Fingern saugst du dir so eine Behauptung?

Daher hatte Daaron ja geschrieben: Lesen bildet!

unsicher1.png

VG,
Mad
 
cumulonimbus8 schrieb:
Eine Änderung wurde in Form einer Deinstallation (die ganz offensichtlich schief ging) vorgenommen, und die legt, wenigstens nun noch für Chrome, HTTPS lahm. Da dasselbe Zertifikat unter FF tut und in Chrome nicht ist es ja auch ganz sicher das Zertifikat.
Warum sollte es nun plötzlich AVAST sein?
Warum der Fehler erst nach der (mutmaßlich vermurksten) Deinstallation der Mobilfunksticks auftat, bleibt noch zu klären. Fakt ist aber, dass Avast hier am Zertifikat herum pfuscht, und allein deshalb die Verschlüsselung geblockt wird. Madman hat ja netterweise den passenden Bereich im Screenshot markiert.

Die logische Konsequenz: Erst einmal den offensichtlichen Störenfried, Avast, entsorgen. Restlos. Das sollte am obigen Zertifikat-Bildschirm eine deutliche Änderung hervorrufen, idealerweise von Rot auf Grün, mindestens aber eine Änderung der signierenden Stelle.
 
Lesen bildet. In der Tat, das tut es. Dann betrachtet doch mal das Bild das ich mitgab genauer. Das ist nämlich zufällig eins von meiner eigenen W8.1-Mschine (um zu sehen was beim Klick aufs Schlösschen kommt) und keins von der mit dem Problem (die war mit im Meeting): das Schlösschen ist dort grün und nicht grau-mit-rotem-Kreuzchen wie es sich beim Problemfall darbietet.

Also bitte zurück zur Frage und dem HTTPS-Problem der XP-Maschine. Vielen Dank.

Ich will gar nicht ausschließen, dass es AVAST ist. Nur ist mir nicht klar, was die Zeile die markiert wurde tatsächlich aussagt. Ich habe das eben auf dieser weiteren 8.1-Maschine mit AVAST reproduziert und die selbe Meldung gesehen. Sagt das nun, dass der Virenschild als solcher hier eingreift oder die Firma AVAST?
Dass allerdings Ähnliches auf der betroffene Maschine zu lesen stand… Leider nein. Ich habe zwar Screenshots bekommen, offensichtlich nach Klick aufs Schlösschen, aber da steht nichts Relevantes drin: «signin.ebay.de • Die Verbindung zu dieser Website ist nicht sicher» - kein Wort über AVAST…

Den Rechner hatte ich heute nicht zur Verfügung, den sehe ich hoffentlich morgen. Dann werde ich wohl auf Verdacht AVAST angehen. Logisch jedenfalls scheint mir das nicht…

CN8
 
cumulonimbus8 schrieb:
Lesen bildet. In der Tat, das tut es. Dann betrachtet doch mal das Bild das ich mitgab genauer. Das ist nämlich zufällig eins von meiner eigenen W8.1-Mschine (um zu sehen was beim Klick aufs Schlösschen kommt)
Das heißt nur, dass deine W8.1 - Maschine auch eine eingebaute Man-in-the-Middle - Schwachstelle hat.... und das dasselbe bei der XP-Kiste sicher auch auftritt.

Ich will gar nicht ausschließen, dass es AVAST ist. Nur ist mir nicht klar, was die Zeile die markiert wurde tatsächlich aussagt. Ich habe das eben auf dieser weiteren 8.1-Maschine mit AVAST reproduziert und die selbe Meldung gesehen. Sagt das nun, dass der Virenschild als solcher hier eingreift oder die Firma AVAST?
Avast Antivirus (wie so manches Antivir) agiert hier als Man-in-the-Middle und sprengt damit die Sicherheit von SSL-Verbindungen, indem es per MitM eigene Zertifikate unterjubelt.
Wenn dann, wie wahrscheinlich auf der XP-Kiste geschehen, diese Zertifikate durch Deinstallationen an anderen Stellen auch noch beschädigt werden, dann wars das endgültig. Dann kriegt auch der dümmste User mit, dass hier irgend etwas an seiner SSL-Verbindung herum pfuscht, weils dann rot leuchtet und blockt.


Aber insgesamt:
XP runterwerfen und neu aufsetzen geht wohl am schnellsten. Im Idealfall: XP bloß noch in einer VM, wenns denn ums Verrecken unbedingt sein muss. Da machen sich auch die Backups leichter.
 
XP runterwerfen geht nicht - zu «größer als XP» ist das Dingens nicht fähig. Aber man muss ja sparsam sein.
(XP, 32, weil mit dessen CMD-Box für unsere Zwecke noch was anzufangen ist was mit 64ern nicht geht. Und Versuche OutlookExpress abschwören zu lassen scheitern seit Jahren…)

Betreffend AVAST: wenn das Murks wäre wäre das Geschrei groß, und ich hätte dann 2 Schwachstellen (unter 8.1; hier kann ich das unter XP im Büro nicht wiederholen).
Im Moment warte ich auf den Rechner…

CN8
 
Natürlich ist es Murks, wenn sich eine Firewall oder ein Antivir in die Verschlüsselung einklinkt und sie somit kompromittiert. Es ist nur Murks auf einem solchen Niveau, dass es den ganzen Mundatmern schon zu hoch ist, um sich darüber aufzuregen.

Warum man sich Outlook Express überhaupt ANgewöhnt hat, sollte man eher mal hinterfragen. Der Mist war schon eine wandelnde Sicherheitslücke, als es noch aktiv unterstützt wurde. Aktuell ist es ein pures, sperrangelweit offenes Einfallstor für Malware... Antivirus hin oder her. Es ist langsam, es ist proprietär, es ist unsicher... Warum also benutzen?

Und gesetzt des unwahrscheinlichen Falles, dass die Hardware tatsächlich nur für XP reicht und nicht für Win7/8 (die meist kaum mehr brauchen, aber viel mehr bieten)... Es gibt immer noch Linux. Leichtgewichtige Oberflächen wie Enlightment oder Lxde sind sogar leicht genug für ne Raspberry Pi.
 
Zurück
Oben