Cyperfriend
Der ohne Avatar
- Registriert
- 14 Juli 2013
- Beiträge
- 1.123
Bekomme folgende Meldung, wenn ich auf google gehen will:
Gelöst - was auch immer es war.
Gelöst - was auch immer es war.
Zuletzt bearbeitet:
-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Sicherheitszertifikat von Google kaputt?
- Ersteller Cyperfriend
- Erstellt am
keinbenutzername
gesperrt
- Registriert
- 21 Juli 2015
- Beiträge
- 3.754
im Zweifelsfall die NSA
sia
gesperrt
MITM ist schon realistisch. Check mal das SHA1-Fingerprint des Zertifikats gegen den hier:
Oder noch besser, starte TAILS und vergleiche.
Kann natürlich auch sein, dass die deinen Router kompromittiert haben.
You're fucked. War schön mit dir™.
Code:
DA:51:A7:82:A8:0C:2B:67:07:DF:6F:5F:17:8B:65:DE:0F:6D:DF:48Oder noch besser, starte TAILS und vergleiche.
Kann natürlich auch sein, dass die deinen Router kompromittiert haben.
You're fucked. War schön mit dir™.
Das Zertifikat das einem zurück gegeben wird / das das angeblich falsch ist / sich im Browser anzeigen lassen.
Dort stand dann vermutlich z.B. der Name einer anderen Firma. Evtl. hatte der TS ein spezielles VPN offen oder war in einem w-lan hotspot?
Dort stand dann vermutlich z.B. der Name einer anderen Firma. Evtl. hatte der TS ein spezielles VPN offen oder war in einem w-lan hotspot?
tm98
Dreikäsehoch
Security Suiten verursachen sowas auch gerne weil sie sich als mitm einhängen. Kaspersky kann das z.B. auch sehr gut in der Standardeinstellung.
virtus
Gehasst
Hast du dir die Fehlermeldung angeschaut? Wenn du die Fehlermeldung nicht verstehst, dann erzähl bitte nichts. Eine falsche Systemzeit (Ausstellungsdatum des Zertifikats in der Zukunft, Ablaufdatum des Zertifikats in der Vergangenheit) resultieren mit entsprechenden Fehlermeldungen, die auf die ungültigen Zeiten verweisen.War sicherlich kein MITM sondern eine falsch eingestellte Systemzeit. Da geht gern was kaputt, insb. bei der Certs
Richtig.
Wo kommt dieses ganze Unfug her? Die Fehlermeldung sagt doch ganz eindeutig, wo das Problem liegt:
[src=ini]SEC_ERROR_UNKNOWN_ISSUER
| | |
| | unbekannter Herausgeber
| Fehler
Sicherheits-[/src]
Bei diesem Fehler wird explizit auf den unbekannten Herausgeber verwiesen.
Jein. Du weißt bei so einer Meldung nur, dass etwas nicht stimmt und was nicht stimmt. Vorausgesetzt die Fehlermeldung wurde gelesen und es hat nicht irgendwer ins Blaue auf eine falsche Systemzeit oder die Illuminaten getippt. Jetzt muss man anhand der Fehlermeldung überlegen, was nun die Ursache sein kann.BurnerR schrieb:
In diesem Fall könnten mehrere Ursachen möglich sein:
- Das System, welches das Zertifikat prüfen soll, wurde nicht/ nicht korrekt konfiguriert und kann den Herausgeber nicht identifizieren.
- Ein Angreifer hat versucht ein gefälschtes Zertifikat unterzuschieben.
Letzteres kann natürlich ein böser Hacker, die NSA, genauso gut aber auch, wie tm98 das schon sagte, eine Security Suite gewesen sein.
In der Tat ist es so, dass sich Security Suites häufig als MITM zwischen Browser und Netzwerkschnittstelle hängen. Das funktioniert jedoch nur solange wirklich gut, solange der Traffic unverschlüsselt (z.B. http) ist. Bei verschlüsseltem Traffic kann die Security Suite erst mal nicht mitlesen. Da natürlich auch verschlüsselter Traffic analysiert werden soll - sonst könnte eine Schadware-Seite einfach durch SSL die Security Suite unterlaufen! - muss die Security Suite ein gefälschtes Zertifikat im System unterbringen. Sie kann dann auch eine SSL/ TLS gesicherte Verbindung angreifen. Wird das von der Security Suite erzeugte Zertifikat nicht (richtig) installiert, kommt es folglich zu Fehlern, wie dem obigen.
Man kann sich jetzt überlegen, ob es besser ist, sich gleich einen MITM ins Haus zu holen oder das Risiko einzugehen über SSL/TLS gesicherte Verbindungen angegriffen zu werden. Da ich persönlich nichts von Snakeoil halte, bin ich strikt gegen diese Sicherheitslösungen out-of-the-box, die am Ende vom Tag keinen signifikanten Sicherheitsgewinn bringen können und stattdessen häufig genug nur noch mehr Türen aufreißen, als sie zu schließen versprechen.
Vor allem ist der Endpunkt der pc, auf diesem wird der Traffic eh entschlüsselt...
Aus dem datenstrom (wenn durch Mim geknackt) lassen sich eh nur pattern checken und das ist mehr oder minder unnütz.
Nebenbei ist alles was sich Sicherheits SUITE nett unnütz...
Aus dem datenstrom (wenn durch Mim geknackt) lassen sich eh nur pattern checken und das ist mehr oder minder unnütz.
Nebenbei ist alles was sich Sicherheits SUITE nett unnütz...
virtus
Gehasst
@drfuture: Ich war selten so sehr deiner Meinung.
sia
gesperrt
virtus
Gehasst
Nicht dass ich wüsste.
Kommt mir eher vor, als wäre das CA-Zertifikat dem Browser unbekannt, Fake-CA.
Kommt mir eher vor, als wäre das CA-Zertifikat dem Browser unbekannt, Fake-CA.
(Name der Seite) verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. (Fehlercode: sec_error_unknown_issuer)
Die Datei cert8.db kann beschädigt worden sein. Löschen Sie diese Datei bei geschlossenem Firefox.
- Öffnen Sie Ihren Profilordner:
Klicken Sie auf die Menüschaltfläche, klicken Sie auf die Hilfe
und wählen Sie Informationen zur Fehlerbehebung. Der Tab mit Informationen zur Fehlerbehebung wird geöffnet.
- Klicken Sie unter Allgemeine Informationen auf Ordner anzeigen. Ein Fenster mit Ihren Profildateien wird geöffnet.
- Firefox
m6ld8ywqya
NGBler
- Registriert
- 16 Juli 2013
- Beiträge
- 671
Wobei das mit dem ungültigen Zertifikat in der Fehlermeldung Bullshit ist.
virtus
Gehasst
Wieso bist du dir dabei so sicher?
m6ld8ywqya
NGBler
- Registriert
- 16 Juli 2013
- Beiträge
- 671
FF deklariert jedes Zertifikat dessen Aussteller er nicht kennt als ungültig und dieses Verhalten ist nun mal nicht korrekt.
doch klar ist das korrekt - für ihn ist das Zertifikat unbekannt > er kann es nicht validieren und ohne korrekte validierung ist es ungültig.
Das ist ja auch das Thema mit Zertifikaten von nicht offiziellen Zertifikatsstellen bzw. selfsignt, so einen zettel ausstellen kann jeder.
Das gewissen *regeln* eingehalten werden bei der Ausstellung wird beaufsichtigt und nur passende Gesellschaften kommen in den Genuss dann auch in den Browsern und überall anders anerkannt zu sein.
Das ist ja auch das Thema mit Zertifikaten von nicht offiziellen Zertifikatsstellen bzw. selfsignt, so einen zettel ausstellen kann jeder.
Das gewissen *regeln* eingehalten werden bei der Ausstellung wird beaufsichtigt und nur passende Gesellschaften kommen in den Genuss dann auch in den Browsern und überall anders anerkannt zu sein.
virtus
Gehasst
Das Verhalten ist logisch, nachvollziehbar und absolut richtig: Jeder kann dir ein beliebiges Zertifikat vorhalten.
Selbst der Phishing-Site-Betreiber kann dir ein self-signed Zertifikat vor die Nase halten. Dem willst du hoffentlich nicht vertrauen.
Im großen weiten Internet ist das aus Gründen der Komplexität so geregelt, dass es einige wenige Certificate Authorities gibt, denen dein Browser vertraut.
Zertifikate, die von diesen CAs gezeichnet werden, wird vertraut, weil die CAs selbst als vertrauenswürdig angenommen werden.
Das ist zugegebener Maßen nicht ganz optimal:
Selbst der Phishing-Site-Betreiber kann dir ein self-signed Zertifikat vor die Nase halten. Dem willst du hoffentlich nicht vertrauen.
Im großen weiten Internet ist das aus Gründen der Komplexität so geregelt, dass es einige wenige Certificate Authorities gibt, denen dein Browser vertraut.
Zertifikate, die von diesen CAs gezeichnet werden, wird vertraut, weil die CAs selbst als vertrauenswürdig angenommen werden.
Das ist zugegebener Maßen nicht ganz optimal:
- Auch Betrüger können sich Zertifikate durch eine CA ausstellen lassen.
- Nicht jedes Zertifikat, welches nicht durch eine CA signiert wurde, ist deshalb gleich gefälscht.
m6ld8ywqya
NGBler
- Registriert
- 16 Juli 2013
- Beiträge
- 671
Da verwechselt wohl jemand Gültigkeit mit Vertrauenswürdigkeit.
Zwischen ungültig und kann Gültigkeit nicht überprüfen gibt es schon noch einen Unterschied, welcher sich auch in den Fehlermeldungen bzw. Warnungen niederschlagen sollte. Wenn man die Gültigkeit nicht prüfen kann, sollte man auch keine Aussagen über die Gültigkeit treffen. Zumindest keine in der Form, das Zertifikat ist (un)gültig, wie es der FF tut.
Nur weil jeder Zertifikate unbekannter CAs oder gar selbst signierte Zertifikate präsentieren kann, heißt das noch lange nicht, das die ungültig sind. Sie sind erst einmal nur nicht vertrauenswürdig.
Ein über einen anderen vertrauenswürdigen Kanal überprüftes selbst signiertes Zertifikat ist vertrauenswürdiger als ein unüberprüftes Zertifikat einer der CAs, der die Browser standardmäßig vertrauen.
Zwischen ungültig und kann Gültigkeit nicht überprüfen gibt es schon noch einen Unterschied, welcher sich auch in den Fehlermeldungen bzw. Warnungen niederschlagen sollte. Wenn man die Gültigkeit nicht prüfen kann, sollte man auch keine Aussagen über die Gültigkeit treffen. Zumindest keine in der Form, das Zertifikat ist (un)gültig, wie es der FF tut.
Nur weil jeder Zertifikate unbekannter CAs oder gar selbst signierte Zertifikate präsentieren kann, heißt das noch lange nicht, das die ungültig sind. Sie sind erst einmal nur nicht vertrauenswürdig.
Ein über einen anderen vertrauenswürdigen Kanal überprüftes selbst signiertes Zertifikat ist vertrauenswürdiger als ein unüberprüftes Zertifikat einer der CAs, der die Browser standardmäßig vertrauen.
ein anderer vertrauenswürdiger Kanal?
Wenn man dem selbst signierten Zertifikat vertraut importiert man die passende root-ca.
Du kannst nicht einfach das ganze System umdrehen / ändern.
Ob das nun an sich Sinnvoll ist oder ob es was anderes gäbe ist wieder eine andere Geschichte... gibt ja noch div. andere Mechanismen die man extra zur "verbesserung" entworfen hat - wie ocsp um direkt die "Gültigkeit" zu prüfen.
Die Gültigkeit für ein Zertifikat setzt nunmal die Prüfbarkeit vorraus, ein Personalausweis ist auch nicht automatisch Gültig - wenn niemand prüfen kann ob er Gültig ist.
Man braucht Div. Prüfkriterien - und dazu gehört - wenn man das Herkunftsland nicht kennen sollte - eine Möglichkeit zu haben bei dem passenden Land nachzufragen - vorher wird man dem Papier nicht vertrauen können und es wird auch nicht als Gültig anerkannt um damit irgendwo einzureisen z.B.
Wenn man dem selbst signierten Zertifikat vertraut importiert man die passende root-ca.
Du kannst nicht einfach das ganze System umdrehen / ändern.
Ob das nun an sich Sinnvoll ist oder ob es was anderes gäbe ist wieder eine andere Geschichte... gibt ja noch div. andere Mechanismen die man extra zur "verbesserung" entworfen hat - wie ocsp um direkt die "Gültigkeit" zu prüfen.
Die Gültigkeit für ein Zertifikat setzt nunmal die Prüfbarkeit vorraus, ein Personalausweis ist auch nicht automatisch Gültig - wenn niemand prüfen kann ob er Gültig ist.
Man braucht Div. Prüfkriterien - und dazu gehört - wenn man das Herkunftsland nicht kennen sollte - eine Möglichkeit zu haben bei dem passenden Land nachzufragen - vorher wird man dem Papier nicht vertrauen können und es wird auch nicht als Gültig anerkannt um damit irgendwo einzureisen z.B.
m6ld8ywqya
NGBler
- Registriert
- 16 Juli 2013
- Beiträge
- 671
Da gibts schlicht keine CA, die du importieren könntest.
OSCP hat nicht wirklich funktioniert. Das lag zum einem daran, das die CAs es oft nicht geschafft haben, dass ihre OSCP-Server zuverlässig erreichbar waren. Andererseits haben die Browser standardmäßig bei nicht Erreichbarkeit das Zertifikat kommentarlos akzeptiert. Hinzu kommt, dass ein Angreifer per MITM ebenfalls verhindern kann, dass der OSCP-Server erreichbar ist. Und wenn ich mich nicht irre, benutzt Chrome die OSCP-Server gar nicht mehr.