Hallo zusammen,


beim Versuch, die Webseite https://ecdcstage.ingenta.com/content/10.2807/1560-7917.ES.2020.25.5.2000080 aufzurufen, erhalte ich vom FF lediglich die folgende Fehlermeldung:

Warnung: Mögliches Sicherheitsrisiko erkannt


Firefox hat ein mögliches Sicherheitsrisiko erkannt und ecdcstage.ingenta.com nicht geladen. Falls Sie die Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder Kreditkartendaten zu stehlen.


Was können Sie dagegen tun?


Am wahrscheinlichsten wird das Problem durch die Website verursacht und Sie können nichts dagegen tun.


Falls Sie sich in einem Firmennetzwerk befinden oder Antivirus-Software einsetzen, so können Sie jeweils deren IT-Support kontaktieren. Das Benachrichtigen des Website-Administrators über das Problem ist eine weitere Möglichkeit.


Weitere Informationen…


Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.


Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.


Fehlercode: SEC_ERROR_UNKNOWN_ISSUER


Zertifikat anzeigen

Nach dem Klicken auf "Fehlercode: SEC_ERROR_UNKNOWN_ISSUER" erschien folgendes:

https://ecdcstage.ingenta.com/content/10.2807/1560-7917.ES.2020.25.5.2000080


Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.


HTTP Strict Transport Security: false

HTTP Public Key Pinning: false


Zertifikatskette:


-----BEGIN CERTIFICATE-----

MIIEFjCCAv6gAwIBAgIBBTANBgkqhkiG9w0BAQUFADCBhTETMBEGA1UEAxMKSW5n

ZW50YSBDQTELMAkGA1UEBhMCR0IxFDASBgNVBAgTC094Zm9yZHNoaXJlMQ8wDQYD

VQQHEwZPeGZvcmQxFDASBgNVBAoTC2luZ2VudGEuY29tMSQwIgYDVQQLExtTZXJ2

aWNlIERlbGl2ZXJ5IERlcGFydG1lbnQwHhcNMDYwNjIzMTM0ODI0WhcNMzMxMTA3

MTM0ODI0WjB6MQswCQYDVQQGEwJHQjEUMBIGA1UECBMLT3hmb3Jkc2hpcmUxFDAS

BgNVBAoTC2luZ2VudGEuY29tMScwJQYDVQQLEx5JbmdlbnRhIFNlcnZpY2UgRGVs

aXZlcnkgR3JvdXAxFjAUBgNVBAMUDSouaW5nZW50YS5jb20wgZ8wDQYJKoZIhvcN

AQEBBQADgY0AMIGJAoGBANv3404MozutkS20xtTBxqKLKVMHiHkJRjRAike/Ralz

N5pOrGrM+zF8emEmB8g+OIRhNcs1QhDwMS4k5IWfIiyrO90LgUJCwhG9axOI2yQu

LKiN9FPOdbHNQYFoWAn0/CgGKPd4v7yQIA8x224Ogjjy75cBDjAw+nVdCbeNGyYT

AgMBAAGjggEdMIIBGTAJBgNVHRMEAjAAMB0GA1UdDgQWBBSWIL3YQfyiv7dd4BvU

sT36Btj3DzCBugYDVR0jBIGyMIGvgBTdIUcZva2BB64xTP3E4KKufS3NcaGBi6SB

iDCBhTETMBEGA1UEAxMKSW5nZW50YSBDQTELMAkGA1UEBhMCR0IxFDASBgNVBAgT

C094Zm9yZHNoaXJlMQ8wDQYDVQQHEwZPeGZvcmQxFDASBgNVBAoTC2luZ2VudGEu

Y29tMSQwIgYDVQQLExtTZXJ2aWNlIERlbGl2ZXJ5IERlcGFydG1lbnSCCQDALdDM

XfbQ+zAwBglghkgBhvhCAQQEIxYhaHR0cHM6Ly9jYS5pbmdlbnRhLmNvbS9jYS1j

cmwucGVtMA0GCSqGSIb3DQEBBQUAA4IBAQBGzFCtClFNA+xsYZzkMhAHLLN+Rb08

j+e38SW7g5vqq5jjUtGG4wvmkTp/uLdng02YAXKVAi20rwHvKZyslwlU1jdJj+2g

hkiCK31ESUNUDfewJjQERLVeh4FJBWkDVWyXMTFtRxx68XTf6I8gljhi2xI8Y/Ez

X2vYNBWo0XtGr3VMzkUgxYwbZ7JMk+fgzgqNvuwANj4bsp8tiUKhPwrmKxmkfANk

OFQLbmns/SSH2L5pIFLdiLxr3lrL/VmcYDDjAbdeYhIBvrgi5SYO+vUAMIhLI28j

QJO1E+hzqjT1vKt1vnr5Bq9FzjYOAVIP1tJe84n/OBaPB79/UJr0AJUs

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

MIIEfTCCA2WgAwIBAgIJAMAt0Mxd9tD7MA0GCSqGSIb3DQEBBQUAMIGFMRMwEQYD

VQQDEwpJbmdlbnRhIENBMQswCQYDVQQGEwJHQjEUMBIGA1UECBMLT3hmb3Jkc2hp

cmUxDzANBgNVBAcTBk94Zm9yZDEUMBIGA1UEChMLaW5nZW50YS5jb20xJDAiBgNV

BAsTG1NlcnZpY2UgRGVsaXZlcnkgRGVwYXJ0bWVudDAeFw0wNjA2MTYxMzE5MDJa

Fw0zMzEwMzExMzE5MDJaMIGFMRMwEQYDVQQDEwpJbmdlbnRhIENBMQswCQYDVQQG

EwJHQjEUMBIGA1UECBMLT3hmb3Jkc2hpcmUxDzANBgNVBAcTBk94Zm9yZDEUMBIG

A1UEChMLaW5nZW50YS5jb20xJDAiBgNVBAsTG1NlcnZpY2UgRGVsaXZlcnkgRGVw

YXJ0bWVudDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALp5IgrkZJ4n

DvpRQnp6vEFIOnVtCRKv97e+fcyjwwW6EDjp5Lt5Iah2hnN4DHFAcc4YNt1IpkiY

eWzdaSoGgfulnogpQwDEGezyzGoitrSOAO9v8O0m+fEZFe78+JswzrLuBDISNcJU

7FJkKHUckzzp+OrVEI11wyRDmNEfeWVXl0kqSGMMq/nEIP8hF3z1EhOJ1qzV1T4y

qf1o8gCrXoizzH2bmqw6xjv9s4qRIJ+uRvDFv1z/O+Uu2HWh3yB8TBFtUMwMrWaf

F6j+JuuEbCRc2kQjoX6U6w62CIWObawbSxNqvzF0/9UQRiF7vdDk6O2VNOEPvs9T

LlR/kylA+W0CAwEAAaOB7TCB6jAdBgNVHQ4EFgQU3SFHGb2tgQeuMUz9xOCirn0t

zXEwgboGA1UdIwSBsjCBr4AU3SFHGb2tgQeuMUz9xOCirn0tzXGhgYukgYgwgYUx

EzARBgNVBAMTCkluZ2VudGEgQ0ExCzAJBgNVBAYTAkdCMRQwEgYDVQQIEwtPeGZv

cmRzaGlyZTEPMA0GA1UEBxMGT3hmb3JkMRQwEgYDVQQKEwtpbmdlbnRhLmNvbTEk

MCIGA1UECxMbU2VydmljZSBEZWxpdmVyeSBEZXBhcnRtZW50ggkAwC3QzF320Psw

DAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAjf8TdvgaT+kYjFHZdQFP

k7CUwvc09D/NZ1qs07Tv8Do0fQeSY7IPVSVqKsRn0hmVqgVFDS+Kd8nyxUFk9fhf

UDlGDyDzPhEAP2zoZh7SbaWDQUXALJeGAa+AUowyZc7t7XPoAbYtB1LxcGgHpiDA

AtoxAqKAKkPkR4H+I/4m3C7MA44+Okc4y17lsIcolPjNwVapZj90S7nyoRJPzA6j

gID9glaibguZuE36Ihe8ceqPq1njwBjq4DJVvnXZZ6E4UzJ3KukNJb30VP0de0Bb

Jn6t1bbcORu/EUt/bFowzMbsgNwAj53l8UGugaJkSU2AG5dT78VX50i0dkMc4xHE

Ug==

-----END CERTIFICATE-----

Nach dem Klicken auf "Zertifikat anzeigen" erschien folgendes (leider muss ich hier den Quellcode einfügen, weil FF das Zertifikat zwar darstellt, aber man diese Darstellung leider nicht kopieren kann und das Zertifikat zwar als Quellcode abspeichern kann, diesen dann aber nicht wieder als Webseite anzeigen lassen kann, weder in FF, Chrome oder LibreOffice Writer):

<!-- This Source Code Form is subject to the terms of the Mozilla Public
   - License, v. 2.0. If a copy of the MPL was not distributed with this
   - file, You can obtain one at http://mozilla.org/MPL/2.0/. -->
<!DOCTYPE html>
<html dir="ltr" lang="de"><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <meta name="viewport" content="width=device-width">
    <meta http-equiv="Content-Security-Policy" content="default-src chrome:; object-src 'none'">
    <link rel="localization" href="toolkit/about/certviewer.ftl">
    <link rel="localization" href="branding/brand.ftl">
    <script defer="defer" src="chrome://global/content/certviewer/pvutils_bundle.js"></script>
    <script defer="defer" src="chrome://global/content/certviewer/asn1js_bundle.js"></script>
    <script defer="defer" src="chrome://global/content/certviewer/pkijs_bundle.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/ctlognames.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/strings.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/utils.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/certDecoder.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/certviewer.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/list-item.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-group.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-group-container.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-item.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/certificate-tabs-section.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/certificate-section.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/error-section.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/about-certificate-section.js"></script>
    <script defer="defer" type="module" src="chrome://global/content/certviewer/components/about-certificate-items.js"></script>
    <link rel="stylesheet" href="chrome://global/skin/in-content/common.css">
    <link rel="stylesheet" href="chrome://global/content/certviewer/certviewer.css">
    <title id="certTitle" data-l10n-id="certificate-viewer-tab-title" data-l10n-args="{&quot;firstCertName&quot;:&quot;*.ingenta.com&quot;}">Zertifikat für *.ingenta.com</title>
  </head>
  <body>
    <template id="certificate-section-template" class="section">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/certificate-section.css">
      <h1 class="title"></h1>
    </template>

    <template id="certificate-tabs-template">
      <div class="certificate-tabs" role="tablist"></div>
    </template>

    <template id="info-groups-template">
    </template>

    <template id="info-item-template">
      <link rel="stylesheet" href="chrome://global/skin/in-content/common.css">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/info-item.css">
      <label></label>
      <span class="info"></span>
    </template>

    <template id="info-group-template">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/info-group.css">
      <span class="extension">
        <img src="chrome://browser/skin/critical.svg" id="critical-info" data-l10n-id="certificate-viewer-critical-extension">
        <span class="info-group-title"></span>
      </span>
      <span class="info-group-title-hr"></span>
    </template>

    <template id="error-section-template">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/error-section.css">
      <h1 class="title"></h1>
      <span class="error"></span>
    </template>

    <template id="about-certificate-template" class="section">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/certificate-section.css">
      <h1 class="title"></h1>
    </template>

    <template id="about-certificate-items-template">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/about-certificate-section.css">
    </template>

    <template id="list-item-template">
      <link rel="stylesheet" href="chrome://global/content/certviewer/components/list-item.css">
      <a class="cert-url"><span class="item-name"></span></a>
      <button class="export"></button>
    </template>
  

<certificate-section></certificate-section></body></html>

Der Vollständigkeit halber kommen hier noch 2 Bildschirmfotos des Zertifikates:

Anscheinend wurde das Zertifikat vom Austeller selbst signiert, deswegen vertraut wohl FF der Website nicht.


Die Haupt-Domain https://www.ingenta.com/ wird hingegen korrekt dargestellt (ist ein anderes Zertifikat), hier kommen zur Abwechslung mal 3 PDFs des Zertifikates:

[attach=27768][/attach]

[attach=27767][/attach]

[attach=27766][/attach]



In Google Chrome ist es übrigens dasselbe Verhalten.



Die beiden FF-Support-Seiten

Beheben der Fehlermeldung „Gesicherte Verbindung fehlgeschlagen“ oder „Kein Verbindungsversuch unternommen“ | Hilfe zu Firefox

sowie

Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox habe ich auch bereits studiert – sowie außerdem diverse "Fäden" hier im Forum.


Zu meinem Problem stärker zu passen scheint aber die FF-Support-Seite

Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites | Hilfe zu Firefox. Denn dort wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode

Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.


Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.


Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

abgebildet. Allerdings passen dazu nicht ganz die darauf folgenden Erläuterungen im Kapitel

Die Fehlermeldung tritt nur auf einer bestimmten Website auf

mit dem Unter-Kapitel

Fehlende Zwischen-Zertifikate

Auf einer Webseite mit einem fehlenden Zwischen-Zertifikat sehen Sie folgende Fehlerbeschreibung, wenn Sie auf der Fehlerseite auf die Schaltfläche Erweitert klicken:

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.

Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.

Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

Das Website-Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und die Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle konnte ebenfalls nicht nachgewiesen werden (ein sogenanntes „Zwischen-Zertifikat” fehlt).

Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat. Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren.

sowie auch dem Unter-Kapitel

Selbst signierte Zertifikate

Auf einer Website mit einem selbst signierten Zertifikat sehen Sie den Fehlercode ERROR_SELF_SIGNED_CERT und – nachdem Sie auf der Seite mit der Fehlermeldung auf die Schaltfläche Erweitert geklickt haben – folgende Fehlerbeschreibung:

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

Selbst signierten Zertifikaten, die von keinem vertrauenswürdigen Aussteller stammen, wird standardmäßig nicht vertraut. Vom Aussteller selbst signierte Zertifikate können Ihre Daten zwar abhörsicher machen, sagen aber nichts über die Identität der Gegenseite aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen.

Die Warnung umgehen

Warnung: Sie sollten niemals eine Ausnahme für Zertifikate hinzufügen, die von einer größeren und bekannten Website oder von Kreditinstituten stammen – in diesem Fall liegt möglicherweise ein Kompromittierungsversuch der Verbindung durch Dritte vor.

Falls die Website es erlaubt, können Sie die Warnung umgehen und damit die Website besuchen, obwohl dem Zertifikat standardmäßig nicht vertraut wird:

  1. Klicken Sie auf der Warnseite auf die Schaltfläche Erweitert.
  2. Klicken Sie auf Risiko akzeptieren und fortfahren.


Aber auch in Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode

Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.

Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.


Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

abgebildet. U.a. mit dem Kapitel

SEC_ERROR_UNKNOWN_ISSUER

Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.


Der Server sendet möglicherweise nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

und dem Kapitel

ERROR_SELF_SIGNED_CERT

Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.


Vom Aussteller selbst signierte Zertifikate machen Ihre Daten abhörsicher, sagen aber nichts über die Identität des Empfängers der Daten aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen. Weitere Informationen erhalten Sie im Artikel Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites.

Auf der im letzten Zitat am Ende empfohlenen Support-Seite (diese ist ja auch z.T. vorstehend zitiert) wird ja u.a. folgendes empfohlen:

Fehlende Zwischen-Zertifikate

(...)


Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat.
Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren

Die Überprüfung durch SSL Labs hat zunächst ergeben:


SSL Report: ecdcstage.ingenta.com (52.213.242.12) Assessed on: Sat, 31 Oct 2020 12:29:55 UTC | Hide | Clear cache
Scan Another »

Certificate name mismatch

Click here to ignore the mismatch and proceed with the tests

Alternate names not found in the certificate

What does this mean?

We were able to retrieve a certificate for this site, but the domain names listed in it do not match the domain name you requested us to inspect. It's possible that:


SSL Report v2.1.8

Nach Klick auf Click here to ignore the mismatch and proceed with the tests kam dann aber folgendes:


SSL Labs logo
Home Projects Qualys Free Trial Contact

You are here: Home > Projects > SSL Server Test >
ecdcstage.ingenta.com

SSL Report: ecdcstage.ingenta.com (52.213.242.12) Assessed on: Sat, 31 Oct 2020 12:40:11 UTC | Hide | Clear cache
Scan Another »


Summary

Overall Rating

T

If trust issues are ignored: B

0

20

40

60

80

100


Certificate


Protocol Support


Key Exchange


Cipher Strength



Visit our documentation page for more information, configuration guides, and books. Known issues are documented here.

This server's certificate is not trusted, see below for details.

Certificate uses an insecure signature. Upgrade to SHA2 to avoid browser warnings. MORE INFO »


This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »



The server private key is not strong enough. Grade capped to B. This server accepts RC4 cipher, but only with older protocols. Grade capped to B. MORE INFO » This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO » This server supports TLS 1.0 and TLS 1.1. Grade capped to B. MORE INFO »


Certificate #1: RSA 1024 bits (SHA1withRSA)


05

Server Key and Certificate #1
Subject *.ingenta.com
Fingerprint SHA256: 9a94a64fb6a23aed136a3f12c6285ca399e38c6d8fc4b9e892cd3f86465aa21b
Pin SHA256: 8gXuEmcMSGTfJU5QdIlBxvdY3sNoEaSNdLe0O4c3e4o=
Common names *.ingenta.com
Alternative names - INVALID
Serial Number
Valid from Fri, 23 Jun 2006 13:48:24 UTC
Valid until Mon, 07 Nov 2033 13:48:24 UTC (expires in 13 years)
Key RSA 1024 bits (e 65537) WEAK
Weak key (Debian) No
Issuer Ingenta CA
Signature algorithm SHA1withRSA INSECURE
Extended Validation No
Certificate Transparency No
OCSP Must Staple No
Revocation information None
DNS CAA No (more info)
Trusted No NOT TRUSTED (Why?)
Mozilla Apple Android Java Windows



Additional Certificates (if supplied)
Certificates provided 2 (2203 bytes)
Chain issues Contains anchor
#2
Subject Ingenta CA Not in trust store
Fingerprint SHA256: 5521d3e7bc9d3a0377cb6aa42d54421ef27449fe66e37f31f47ee1cebebc046f
Pin SHA256: M72uLQ82j8n7GkxIsjrKp9KByITvYqwwYVAAKxW/fAU=
Valid until Mon, 31 Oct 2033 13:19:02 UTC (expires in 13 years)
Key RSA 2048 bits (e 65537)
Issuer Ingenta CA Self-signed
Signature algorithm SHA1withRSA Weak, but no impact on root certificate



Certification Paths

Click here to expand


Configuration

Protocols
TLS 1.3 No
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No




Cipher Suites
# TLS 1.2 (server has no preference)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) WEAK 112
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16) DH 1024 bits FS WEAK 112
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 112
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits FS WEAK 128
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) WEAK 128
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45) DH 1024 bits FS WEAK 128
TLS_RSA_WITH_SEED_CBC_SHA (0x96) WEAK 128
TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x9a) DH 1024 bits FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 1024 bits FS WEAK 128
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH sect571r1 (eq. 15360 bits RSA) FS 128
TLS_RSA_WITH_RC4_128_MD5 (0x4) INSECURE 128
TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE 128
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) ECDH sect571r1 (eq. 15360 bits RSA) FS INSECURE 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK 256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) WEAK 256
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88) DH 1024 bits FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 256
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits FS WEAK 256
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH sect571r1 (eq. 15360 bits RSA) FS 256
# TLS 1.1 (server has no preference)
# TLS 1.0 (server has no preference)




Handshake Simulation
Android 2.3.7 No SNI 2 RSA 1024 (SHA1) TLS 1.0 TLS_RSA_WITH_RC4_128_MD5 No FS RC4
Android 4.0.4 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect283k1 FS
Android 4.1.1 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS
Android 4.2.2 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS
Android 4.3 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS
Android 4.4.2 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp521r1 FS
Android 5.0.0 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS
Android 6.0 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Android 7.0 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Android 8.0 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Android 8.1 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Android 9.0 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Baidu Jan 2015 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS
BingPreview Jan 2015 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS
Chrome 49 / XP SP3 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Chrome 69 / Win 7 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Chrome 70 / Win 10 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Chrome 80 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Firefox 31.3.0 ESR / Win 7 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Firefox 47 / Win 7 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Firefox 49 / XP SP3 RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Firefox 62 / Win 7 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Firefox 73 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
Googlebot Feb 2018 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS
IE 7 / Vista RSA 1024 (SHA1) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA No FS
IE 8 / XP No FS 1 No SNI 2 RSA 1024 (SHA1) TLS 1.0 TLS_RSA_WITH_RC4_128_MD5 RC4
IE 8-10 / Win 7 R RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS
IE 11 / Win 7 R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win 8.1 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 10 / Win Phone 8.0 RSA 1024 (SHA1) TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA No FS
IE 11 / Win Phone 8.1 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_RSA_WITH_AES_128_CBC_SHA256 No FS
IE 11 / Win Phone 8.1 Update R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Edge 15 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Edge 16 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Edge 18 / Win 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Edge 13 / Win Phone 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Java 6u45 No SNI 2 RSA 1024 (SHA1) TLS 1.0 TLS_RSA_WITH_RC4_128_MD5 No FS RC4
Java 7u25 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH secp256r1 FS
Java 8u161 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Java 11.0.3 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Java 12.0.1 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
OpenSSL 0.9.8y RSA 1024 (SHA1) TLS 1.0 TLS_DHE_RSA_WITH_AES_256_CBC_SHA DH 1024 FS
OpenSSL 1.0.1l R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS
OpenSSL 1.0.2s R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
OpenSSL 1.1.0k R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
OpenSSL 1.1.1c R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 5.1.9 / OS X 10.6.8 RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH secp256r1 FS
Safari 6 / iOS 6.0.1 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Safari 6.0.4 / OS X 10.8.4 R RSA 1024 (SHA1) TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS
Safari 7 / iOS 7.1 R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Safari 7 / OS X 10.9 R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Safari 8 / iOS 8.4 R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Safari 8 / OS X 10.10 R RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
Safari 9 / iOS 9 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 9 / OS X 10.11 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 10 / iOS 10 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 10 / OS X 10.12 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 12.1.2 / MacOS 10.14.6 Beta R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Safari 12.1.1 / iOS 12.3.1 R RSA 1024 (SHA1) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS
Apple ATS 9 / iOS 9 R Client does not support RSA keys < 2048 bits
RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH secp256r1
Yahoo Slurp Jan 2015 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp384r1 FS
YandexBot Jan 2015 RSA 1024 (SHA1) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS
# Not simulated clients (Protocol mismatch)
IE 6 / XP No FS 1 No SNI 2 Protocol mismatch (not simulated)
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers sometimes retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).
(All) Certificate trust is not checked in handshake simulation, we only perform TLS handshake.



Protocol Details
DROWN Not vulnerable Not vulnerable Not vulnerable
Port Special
443 Yes
993 Yes
995 Yes
(1) For a better understanding of this test, please read this longer explanation
(2) Key usage data kindly provided by the Censys network search engine; original DROWN website here
(3) Censys data is only indicative of possible key and certificate reuse; possibly out-of-date and incomplete
(4) We perform real-time key reuse checks, but stop checking after first confirmed vulnerability
(5) The "Special" column indicates vulnerable OpenSSL version; "Export" refers to export cipher suites
Secure Renegotiation Supported
Secure Client-Initiated Renegotiation No
Insecure Client-Initiated Renegotiation No
BEAST attack Not mitigated server-side (more info) TLS 1.0: 0xa
POODLE (SSLv3) No, SSL 3 not supported (more info)
POODLE (TLS) No (more info)
Zombie POODLE No (more info) TLS 1.2 : 0x000a
GOLDENDOODLE No (more info) TLS 1.2 : 0x000a
OpenSSL 0-Length No (more info) TLS 1.2 : 0x000a
Sleeping POODLE No (more info) TLS 1.2 : 0x000a
Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
SSL/TLS compression No
RC4 Yes INSECURE (more info)
Heartbeat (extension) Yes
Heartbleed (vulnerability) No (more info)
Ticketbleed (vulnerability) No (more info)
OpenSSL CCS vuln. (CVE-2014-0224) No (more info)
OpenSSL Padding Oracle vuln.
(CVE-2016-2107)
No (more info)
ROBOT (vulnerability) No (more info)
Forward Secrecy Weak key exchange WEAK
ALPN Yes http/1.1
NPN No
Session resumption (caching) Yes
Session resumption (tickets) Yes
OCSP stapling No
Strict Transport Security (HSTS) No
HSTS Preloading Not in: Chrome Edge Firefox IE
Public Key Pinning (HPKP) No (more info)
Public Key Pinning Report-Only No
Public Key Pinning (Static) No (more info)
Long handshake intolerance No
TLS extension intolerance No
TLS version intolerance No
Incorrect SNI alerts No
Uses common DH primes Yes Replace with custom DH parameters if possible (more info)
DH public server param (Ys) reuse No
ECDH public server param reuse No
Supported Named Groups sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp256k1, secp256r1, secp384r1, secp521r1, brainpoolP256r1, brainpoolP384r1, brainpoolP512r1 (Server has no preference)
SSL 2 handshake compatibility Yes





HTTP Requests
1 https://ecdcstage.ingenta.com/ (HTTP/1.1 403 Forbidden)




Miscellaneous
Test date Sat, 31 Oct 2020 12:36:44 UTC
Test duration 207.44 seconds
HTTP status code 403
HTTP server signature Apache/2.4.18 (Ubuntu) mod_jk/1.2.41 OpenSSL/1.0.2g
Server hostname ec2-52-213-242-12.eu-west-1.compute.amazonaws.com




Why is my certificate not trusted?

There are many reasons why a certificate may not be trusted. The exact problem is indicated on the report card in bright red. The problems fall into three categories:

  1. Invalid certificate
  2. Invalid configuration
  3. Unknown Certificate Authority

1. Invalid certificate

A certificate is invalid if:

2. Invalid configuration

In some cases, the certificate chain does not contain all the necessary certificates to connect the web server certificate to one of the root certificates in our trust store. Less commonly, one of the certificates in the chain (other than the web server certificate) will have expired, and that invalidates the entire chain.

3. Unknown Certificate Authority

In order for trust to be established, we must have the root certificate of the signing Certificate Authority in our trust store. SSL Labs does not maintain its own trust store; instead we use the store maintained by Mozilla.

If we mark a web site as not trusted, that means that the average web user's browser will not trust it either. For certain special groups of users, such web sites can still be secure. For example, if you can securely verify that a self-signed web site is operated by a person you trust, then you can trust that self-signed web site too. Or, if you work for an organisation that manages its own trust, and you have their own root certificate already embedded in your browser. Such special cases do not work for the general public, however, and this is what we indicate on our report card.

4. Interoperability issues

In some rare cases trust cannot be established because of interoperability issues between our code and the code or configuration running on the server. We manually review such cases, but if you encounter such an issue please feel free to contact us. Such problems are very difficult to troubleshoot and you may be able to provide us with information that might help us determine the root cause.

SSL Report v2.1.8


Copyright © 2009-2020 Qualys, Inc. All Rights Reserved. Terms and Conditions
Try Qualys for free! Experience the award-winning Qualys Cloud Platform and the entire collection of Qualys Cloud Apps, including certificate security solutions.



So ziemlich oben steht dort ja bei

Chain issues Contains anchor

und nicht, wie im FF-Suppurt-Artikel

Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites angegeben "Chain issues: Incomplete".


Es fehlt also wohl kein passendes Zwischen-Zertifikat, ist also entgegen dem, was meine Fehlermeldung SEC_ERROR_UNKNOWN_ISSUER suggerieren soll, sondern es scheint sich im Gegenteil um ein selbst-signiertes Zertifikat zu handeln – was vorstehend in der SSL Labs-Ausgabe auch durch

Issuer Ingenta CA Self-signed

untermauert wird (etwas unterhalb von "Chain issues"), und außerdem durch die Tatsache, dass Google Chrome ebenfalls eine Fehlermeldung auswirft bzw. die Seite auch blockiert!


Aber warum lautet dann die FF-Fehlermeldung nicht ERROR_SELF_SIGNED_CERT!?



Meine Frage an Euch lauten deswegen, wie ich weiter verfahren soll:

– die Website vorerst nicht besuchen und zunächst den Betreiber der Website kontaktieren?

– die Warnung umgehen und damit die Website besuchen ("Klicken Sie auf Risiko akzeptieren und fortfahren.")?

– eventuell ein zusätzliches Stammzertifikat importieren – aber bloß wie?

– den Zertifikatsspeicher löschen (die Datei cert9.db und evtl. auch cert8.db)?



Vielen herzlichen Dank an Euch vorab!