Hallo zusammen,
beim Versuch, die Webseite https://ecdcstage.ingenta.com/content/10.2807/1560-7917.ES.2020.25.5.2000080 aufzurufen, erhalte ich vom FF lediglich die folgende Fehlermeldung:
Warnung: Mögliches Sicherheitsrisiko erkannt
Firefox hat ein mögliches Sicherheitsrisiko erkannt und ecdcstage.ingenta.com nicht geladen. Falls Sie die Website besuchen, könnten Angreifer versuchen, Passwörter, E-Mails oder Kreditkartendaten zu stehlen.
Was können Sie dagegen tun?
Am wahrscheinlichsten wird das Problem durch die Website verursacht und Sie können nichts dagegen tun.
Falls Sie sich in einem Firmennetzwerk befinden oder Antivirus-Software einsetzen, so können Sie jeweils deren IT-Support kontaktieren. Das Benachrichtigen des Website-Administrators über das Problem ist eine weitere Möglichkeit.
Weitere Informationen…
Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
Zertifikat anzeigen
Nach dem Klicken auf "Fehlercode: SEC_ERROR_UNKNOWN_ISSUER" erschien folgendes:
https://ecdcstage.ingenta.com/content/10.2807/1560-7917.ES.2020.25.5.2000080
Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.
HTTP Strict Transport Security: false
HTTP Public Key Pinning: false
Zertifikatskette:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEfTCCA2WgAwIBAgIJAMAt0Mxd9tD7MA0GCSqGSIb3DQEBBQUAMIGFMRMwEQYD
VQQDEwpJbmdlbnRhIENBMQswCQYDVQQGEwJHQjEUMBIGA1UECBMLT3hmb3Jkc2hp
cmUxDzANBgNVBAcTBk94Zm9yZDEUMBIGA1UEChMLaW5nZW50YS5jb20xJDAiBgNV
BAsTG1NlcnZpY2UgRGVsaXZlcnkgRGVwYXJ0bWVudDAeFw0wNjA2MTYxMzE5MDJa
Fw0zMzEwMzExMzE5MDJaMIGFMRMwEQYDVQQDEwpJbmdlbnRhIENBMQswCQYDVQQG
EwJHQjEUMBIGA1UECBMLT3hmb3Jkc2hpcmUxDzANBgNVBAcTBk94Zm9yZDEUMBIG
A1UEChMLaW5nZW50YS5jb20xJDAiBgNVBAsTG1NlcnZpY2UgRGVsaXZlcnkgRGVw
YXJ0bWVudDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALp5IgrkZJ4n
DvpRQnp6vEFIOnVtCRKv97e+fcyjwwW6EDjp5Lt5Iah2hnN4DHFAcc4YNt1IpkiY
eWzdaSoGgfulnogpQwDEGezyzGoitrSOAO9v8O0m+fEZFe78+JswzrLuBDISNcJU
7FJkKHUckzzp+OrVEI11wyRDmNEfeWVXl0kqSGMMq/nEIP8hF3z1EhOJ1qzV1T4y
qf1o8gCrXoizzH2bmqw6xjv9s4qRIJ+uRvDFv1z/O+Uu2HWh3yB8TBFtUMwMrWaf
F6j+JuuEbCRc2kQjoX6U6w62CIWObawbSxNqvzF0/9UQRiF7vdDk6O2VNOEPvs9T
LlR/kylA+W0CAwEAAaOB7TCB6jAdBgNVHQ4EFgQU3SFHGb2tgQeuMUz9xOCirn0t
zXEwgboGA1UdIwSBsjCBr4AU3SFHGb2tgQeuMUz9xOCirn0tzXGhgYukgYgwgYUx
EzARBgNVBAMTCkluZ2VudGEgQ0ExCzAJBgNVBAYTAkdCMRQwEgYDVQQIEwtPeGZv
cmRzaGlyZTEPMA0GA1UEBxMGT3hmb3JkMRQwEgYDVQQKEwtpbmdlbnRhLmNvbTEk
MCIGA1UECxMbU2VydmljZSBEZWxpdmVyeSBEZXBhcnRtZW50ggkAwC3QzF320Psw
DAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAjf8TdvgaT+kYjFHZdQFP
k7CUwvc09D/NZ1qs07Tv8Do0fQeSY7IPVSVqKsRn0hmVqgVFDS+Kd8nyxUFk9fhf
UDlGDyDzPhEAP2zoZh7SbaWDQUXALJeGAa+AUowyZc7t7XPoAbYtB1LxcGgHpiDA
AtoxAqKAKkPkR4H+I/4m3C7MA44+Okc4y17lsIcolPjNwVapZj90S7nyoRJPzA6j
gID9glaibguZuE36Ihe8ceqPq1njwBjq4DJVvnXZZ6E4UzJ3KukNJb30VP0de0Bb
Jn6t1bbcORu/EUt/bFowzMbsgNwAj53l8UGugaJkSU2AG5dT78VX50i0dkMc4xHE
Ug==
-----END CERTIFICATE-----
Nach dem Klicken auf "Zertifikat anzeigen" erschien folgendes (leider muss ich hier den Quellcode einfügen, weil FF das Zertifikat zwar darstellt, aber man diese Darstellung leider nicht kopieren kann und das Zertifikat zwar als Quellcode abspeichern kann, diesen dann aber nicht wieder als Webseite anzeigen lassen kann, weder in FF, Chrome oder LibreOffice Writer):
<!-- This Source Code Form is subject to the terms of the Mozilla Public
- License, v. 2.0. If a copy of the MPL was not distributed with this
- file, You can obtain one at http://mozilla.org/MPL/2.0/. -->
<!DOCTYPE html>
<html dir="ltr" lang="de"><head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<meta name="viewport" content="width=device-width">
<meta http-equiv="Content-Security-Policy" content="default-src chrome:; object-src 'none'">
<link rel="localization" href="toolkit/about/certviewer.ftl">
<link rel="localization" href="branding/brand.ftl">
<script defer="defer" src="chrome://global/content/certviewer/pvutils_bundle.js"></script>
<script defer="defer" src="chrome://global/content/certviewer/asn1js_bundle.js"></script>
<script defer="defer" src="chrome://global/content/certviewer/pkijs_bundle.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/ctlognames.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/strings.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/utils.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/certDecoder.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/certviewer.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/list-item.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-group.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-group-container.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/info-item.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/certificate-tabs-section.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/certificate-section.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/error-section.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/about-certificate-section.js"></script>
<script defer="defer" type="module" src="chrome://global/content/certviewer/components/about-certificate-items.js"></script>
<link rel="stylesheet" href="chrome://global/skin/in-content/common.css">
<link rel="stylesheet" href="chrome://global/content/certviewer/certviewer.css">
<title id="certTitle" data-l10n-id="certificate-viewer-tab-title" data-l10n-args="{"firstCertName":"*.ingenta.com"}">Zertifikat für *.ingenta.com</title>
</head>
<body>
<template id="certificate-section-template" class="section">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/certificate-section.css">
<h1 class="title"></h1>
</template>
<template id="certificate-tabs-template">
<div class="certificate-tabs" role="tablist"></div>
</template>
<template id="info-groups-template">
</template>
<template id="info-item-template">
<link rel="stylesheet" href="chrome://global/skin/in-content/common.css">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/info-item.css">
<label></label>
<span class="info"></span>
</template>
<template id="info-group-template">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/info-group.css">
<span class="extension">
<img src="chrome://browser/skin/critical.svg" id="critical-info" data-l10n-id="certificate-viewer-critical-extension">
<span class="info-group-title"></span>
</span>
<span class="info-group-title-hr"></span>
</template>
<template id="error-section-template">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/error-section.css">
<h1 class="title"></h1>
<span class="error"></span>
</template>
<template id="about-certificate-template" class="section">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/certificate-section.css">
<h1 class="title"></h1>
</template>
<template id="about-certificate-items-template">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/about-certificate-section.css">
</template>
<template id="list-item-template">
<link rel="stylesheet" href="chrome://global/content/certviewer/components/list-item.css">
<a class="cert-url"><span class="item-name"></span></a>
<button class="export"></button>
</template>
<certificate-section></certificate-section></body></html>
Der Vollständigkeit halber kommen hier noch 2 Bildschirmfotos des Zertifikates:
Anscheinend wurde das Zertifikat vom Austeller selbst signiert, deswegen vertraut wohl FF der Website nicht.
Die Haupt-Domain https://www.ingenta.com/ wird hingegen korrekt dargestellt (ist ein anderes Zertifikat), hier kommen zur Abwechslung mal 3 PDFs des Zertifikates:
[attach=27768][/attach]
[attach=27767][/attach]
[attach=27766][/attach]
In Google Chrome ist es übrigens dasselbe Verhalten.
Die beiden FF-Support-Seiten
sowie
Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox habe ich auch bereits studiert – sowie außerdem diverse "Fäden" hier im Forum.
Zu meinem Problem stärker zu passen scheint aber die FF-Support-Seite
Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites | Hilfe zu Firefox. Denn dort wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode
Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
abgebildet. Allerdings passen dazu nicht ganz die darauf folgenden Erläuterungen im Kapitel
mit dem Unter-Kapitel
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.
Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
Das Website-Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und die Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle konnte ebenfalls nicht nachgewiesen werden (ein sogenanntes „Zwischen-Zertifikat” fehlt).
Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat. Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren.
sowie auch dem Unter-Kapitel
Auf einer Website mit einem selbst signierten Zertifikat sehen Sie den Fehlercode ERROR_SELF_SIGNED_CERT und – nachdem Sie auf der Seite mit der Fehlermeldung auf die Schaltfläche Erweitert geklickt haben – folgende Fehlerbeschreibung:
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Selbst signierten Zertifikaten, die von keinem vertrauenswürdigen Aussteller stammen, wird standardmäßig nicht vertraut. Vom Aussteller selbst signierte Zertifikate können Ihre Daten zwar abhörsicher machen, sagen aber nichts über die Identität der Gegenseite aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen.
Warnung: Sie sollten niemals eine Ausnahme für Zertifikate hinzufügen, die von einer größeren und bekannten Website oder von Kreditinstituten stammen – in diesem Fall liegt möglicherweise ein Kompromittierungsversuch der Verbindung durch Dritte vor.
Falls die Website es erlaubt, können Sie die Warnung umgehen und damit die Website besuchen, obwohl dem Zertifikat standardmäßig nicht vertraut wird:
Aber auch in Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode
Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.
Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER
abgebildet. U.a. mit dem Kapitel
Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.
Der Server sendet möglicherweise nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden.
und dem Kapitel
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Vom Aussteller selbst signierte Zertifikate machen Ihre Daten abhörsicher, sagen aber nichts über die Identität des Empfängers der Daten aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen. Weitere Informationen erhalten Sie im Artikel Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites.
Auf der im letzten Zitat am Ende empfohlenen Support-Seite (diese ist ja auch z.T. vorstehend zitiert) wird ja u.a. folgendes empfohlen:
(...)
Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat.
Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren
Die Überprüfung durch SSL Labs hat zunächst ergeben:
SSL Report: ecdcstage.ingenta.com (52.213.242.12) Assessed on: Sat, 31 Oct 2020 12:29:55 UTC | Hide | Clear cache
Scan Another »
Certificate name mismatch
Click here to ignore the mismatch and proceed with the tests
Alternate names not found in the certificate
What does this mean?
We were able to retrieve a certificate for this site, but the domain names listed in it do not match the domain name you requested us to inspect. It's possible that:
SSL Report v2.1.8
Nach Klick auf Click here to ignore the mismatch and proceed with the tests kam dann aber folgendes:
Home Projects Qualys Free Trial Contact
You are here: Home > Projects > SSL Server Test >
ecdcstage.ingenta.com
SSL Report: ecdcstage.ingenta.com (52.213.242.12) Assessed on: Sat, 31 Oct 2020 12:40:11 UTC | Hide | Clear cache
Scan Another »
Summary
Overall Rating
T
If trust issues are ignored: B
0
20
40
60
80
100
Certificate
Protocol Support
Key Exchange
Cipher Strength
Visit our documentation page for more information, configuration guides, and books. Known issues are documented here.
This server's certificate is not trusted, see below for details.
Certificate uses an insecure signature. Upgrade to SHA2 to avoid browser warnings. MORE INFO »
This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. MORE INFO »
The server private key is not strong enough. Grade capped to B. This server accepts RC4 cipher, but only with older protocols. Grade capped to B. MORE INFO » This server does not support Forward Secrecy with the reference browsers. Grade capped to B. MORE INFO » This server supports TLS 1.0 and TLS 1.1. Grade capped to B. MORE INFO »
Certificate #1: RSA 1024 bits (SHA1withRSA)
05
| Server Key and Certificate #1 | |
| Subject | *.ingenta.com Fingerprint SHA256: 9a94a64fb6a23aed136a3f12c6285ca399e38c6d8fc4b9e892cd3f86465aa21b Pin SHA256: 8gXuEmcMSGTfJU5QdIlBxvdY3sNoEaSNdLe0O4c3e4o= |
| Common names | *.ingenta.com |
| Alternative names | - INVALID |
| Serial Number | |
| Valid from | Fri, 23 Jun 2006 13:48:24 UTC |
| Valid until | Mon, 07 Nov 2033 13:48:24 UTC (expires in 13 years) |
| Key | RSA 1024 bits (e 65537) WEAK |
| Weak key (Debian) | No |
| Issuer | Ingenta CA |
| Signature algorithm | SHA1withRSA INSECURE |
| Extended Validation | No |
| Certificate Transparency | No |
| OCSP Must Staple | No |
| Revocation information | None |
| DNS CAA | No (more info) |
| Trusted | No NOT TRUSTED
(Why?)
Mozilla Apple Android Java Windows |
Certification Paths |
Click here to expand
Configuration
| Protocols | |
| TLS 1.3 | No |
| TLS 1.2 | Yes |
| TLS 1.1 | Yes |
| TLS 1.0 | Yes |
| SSL 3 | No |
| SSL 2 | No |
| Cipher Suites | |
 # TLS 1.2 (server has no preference) |
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) WEAK |
112 |
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (0x16) DH 1024 bits FS WEAK |
112 |
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (0xc012) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK |
112 |
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK |
128 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x33) DH 1024 bits FS WEAK |
128 |
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (0x41) WEAK |
128 |
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (0x45) DH 1024 bits FS WEAK |
128 |
TLS_RSA_WITH_SEED_CBC_SHA (0x96) WEAK |
128 |
TLS_DHE_RSA_WITH_SEED_CBC_SHA (0x9a) DH 1024 bits FS WEAK |
128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK |
128 |
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK |
128 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 1024 bits FS WEAK |
128 |
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK |
128 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x9e) DH 1024 bits FS WEAK |
128 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK |
128 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH sect571r1 (eq. 15360 bits RSA) FS |
128 |
TLS_RSA_WITH_RC4_128_MD5 (0x4) INSECURE |
128 |
TLS_RSA_WITH_RC4_128_SHA (0x5) INSECURE |
128 |
TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011) ECDH sect571r1 (eq. 15360 bits RSA) FS INSECURE |
128 |
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK |
256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39) DH 1024 bits FS WEAK |
256 |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (0x84) WEAK |
256 |
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (0x88) DH 1024 bits FS WEAK |
256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK |
256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK |
256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 1024 bits FS WEAK |
256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK |
256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x9f) DH 1024 bits FS WEAK |
256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH sect571r1 (eq. 15360 bits RSA) FS WEAK |
256 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH sect571r1 (eq. 15360 bits RSA) FS |
256 |
| # TLS 1.1 (server has no preference) |
|
| # TLS 1.0 (server has no preference) |
| Handshake Simulation | |||
| Android 2.3.7 No SNI 2 | RSA 1024 (SHA1) | TLS 1.0 | TLS_RSA_WITH_RC4_128_MD5 No FS RC4 |
| Android 4.0.4 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect283k1 FS |
| Android 4.1.1 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS |
| Android 4.2.2 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS |
| Android 4.3 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH sect571r1 FS |
| Android 4.4.2 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp521r1 FS |
| Android 5.0.0 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp521r1 FS |
| Android 6.0 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Android 7.0 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Android 8.0 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Android 8.1 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Android 9.0 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Baidu Jan 2015 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS |
| BingPreview Jan 2015 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS |
| Chrome 49 / XP SP3 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Chrome 69 / Win 7 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Chrome 70 / Win 10 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Chrome 80 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Firefox 31.3.0 ESR / Win 7 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Firefox 47 / Win 7 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Firefox 49 / XP SP3 | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Firefox 62 / Win 7 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Firefox 73 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| Googlebot Feb 2018 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDH secp256r1 FS |
| IE 7 / Vista | RSA 1024 (SHA1) | TLS 1.0 | TLS_RSA_WITH_AES_128_CBC_SHA No FS |
| IE 8 / XP No FS 1 No SNI 2 | RSA 1024 (SHA1) | TLS 1.0 | TLS_RSA_WITH_RC4_128_MD5 RC4 |
| IE 8-10 / Win 7 R | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS |
| IE 11 / Win 7 R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| IE 11 / Win 8.1 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| IE 10 / Win Phone 8.0 | RSA 1024 (SHA1) | TLS 1.0 | TLS_RSA_WITH_AES_128_CBC_SHA No FS |
| IE 11 / Win Phone 8.1 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_RSA_WITH_AES_128_CBC_SHA256 No FS |
| IE 11 / Win Phone 8.1 Update R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| IE 11 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Edge 15 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Edge 16 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Edge 18 / Win 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Edge 13 / Win Phone 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Java 6u45 No SNI 2 | RSA 1024 (SHA1) | TLS 1.0 | TLS_RSA_WITH_RC4_128_MD5 No FS RC4 |
| Java 7u25 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH secp256r1 FS |
| Java 8u161 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Java 11.0.3 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Java 12.0.1 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| OpenSSL 0.9.8y | RSA 1024 (SHA1) | TLS 1.0 | TLS_DHE_RSA_WITH_AES_256_CBC_SHA DH 1024 FS |
| OpenSSL 1.0.1l R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS |
| OpenSSL 1.0.2s R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| OpenSSL 1.1.0k R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| OpenSSL 1.1.1c R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 5.1.9 / OS X 10.6.8 | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ECDH secp256r1 FS |
| Safari 6 / iOS 6.0.1 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Safari 6.0.4 / OS X 10.8.4 R | RSA 1024 (SHA1) | TLS 1.0 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ECDH secp256r1 FS |
| Safari 7 / iOS 7.1 R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Safari 7 / OS X 10.9 R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Safari 8 / iOS 8.4 R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Safari 8 / OS X 10.10 R | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS |
| Safari 9 / iOS 9 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 9 / OS X 10.11 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 10 / iOS 10 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 10 / OS X 10.12 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 12.1.2 / MacOS 10.14.6 Beta R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Safari 12.1.1 / iOS 12.3.1 R | RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp256r1 FS |
| Apple ATS 9 / iOS 9 R | Client does not support RSA keys < 2048 bits RSA 1024 (SHA1) | TLS 1.2 > http/1.1 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | ECDH secp256r1 |
||
| Yahoo Slurp Jan 2015 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH secp384r1 FS |
| YandexBot Jan 2015 | RSA 1024 (SHA1) | TLS 1.2 | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDH sect571r1 FS |
| # Not simulated clients (Protocol mismatch) |
|||
| IE 6 / XP No FS 1 No SNI 2 | Protocol mismatch (not simulated) |
||
| (1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it. | |||
| (2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI. | |||
| (3) Only first connection attempt simulated. Browsers sometimes retry with a lower protocol version. | |||
| (R) Denotes a reference browser or client, with which we expect better effective security. | |||
| (All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE). | |||
| (All) Certificate trust is not checked in handshake simulation, we only perform TLS handshake. |
| Protocol Details | |||||||||||||||
| DROWN | Not vulnerable Not vulnerable Not vulnerable
|
||||||||||||||
| Secure Renegotiation | Supported | ||||||||||||||
| Secure Client-Initiated Renegotiation | No | ||||||||||||||
| Insecure Client-Initiated Renegotiation | No | ||||||||||||||
| BEAST attack | Not mitigated server-side (more info)
TLS 1.0: 0xa |
||||||||||||||
| POODLE (SSLv3) | No, SSL 3 not supported (more info) | ||||||||||||||
| POODLE (TLS) | No (more info) | ||||||||||||||
| Zombie POODLE | No (more info) TLS 1.2 : 0x000a |
||||||||||||||
| GOLDENDOODLE | No (more info) TLS 1.2 : 0x000a |
||||||||||||||
| OpenSSL 0-Length | No (more info) TLS 1.2 : 0x000a |
||||||||||||||
| Sleeping POODLE | No (more info) TLS 1.2 : 0x000a |
||||||||||||||
| Downgrade attack prevention | Yes, TLS_FALLBACK_SCSV supported (more info) | ||||||||||||||
| SSL/TLS compression | No | ||||||||||||||
| RC4 | Yes INSECURE (more info) | ||||||||||||||
| Heartbeat (extension) | Yes | ||||||||||||||
| Heartbleed (vulnerability) | No (more info) | ||||||||||||||
| Ticketbleed (vulnerability) | No (more info) | ||||||||||||||
| OpenSSL CCS vuln. (CVE-2014-0224) | No (more info) | ||||||||||||||
| OpenSSL Padding Oracle vuln. (CVE-2016-2107) |
No (more info) | ||||||||||||||
| ROBOT (vulnerability) | No (more info) | ||||||||||||||
| Forward Secrecy | Weak key exchange WEAK | ||||||||||||||
| ALPN | Yes http/1.1 | ||||||||||||||
| NPN | No | ||||||||||||||
| Session resumption (caching) | Yes | ||||||||||||||
| Session resumption (tickets) | Yes | ||||||||||||||
| OCSP stapling | No | ||||||||||||||
| Strict Transport Security (HSTS) | No | ||||||||||||||
| HSTS Preloading | Not in: Chrome Edge Firefox IE | ||||||||||||||
| Public Key Pinning (HPKP) | No (more info) | ||||||||||||||
| Public Key Pinning Report-Only | No | ||||||||||||||
| Public Key Pinning (Static) | No (more info) | ||||||||||||||
| Long handshake intolerance | No | ||||||||||||||
| TLS extension intolerance | No | ||||||||||||||
| TLS version intolerance | No | ||||||||||||||
| Incorrect SNI alerts | No | ||||||||||||||
| Uses common DH primes | Yes Replace with custom DH parameters if possible (more info) | ||||||||||||||
| DH public server param (Ys) reuse | No | ||||||||||||||
| ECDH public server param reuse | No | ||||||||||||||
| Supported Named Groups | sect283k1, sect283r1, sect409k1, sect409r1, sect571k1, sect571r1, secp256k1, secp256r1, secp384r1, secp521r1, brainpoolP256r1, brainpoolP384r1, brainpoolP512r1 (Server has no preference) | ||||||||||||||
| SSL 2 handshake compatibility | Yes | ||||||||||||||
|
HTTP Requests |
| 1 https://ecdcstage.ingenta.com/ (HTTP/1.1 403 Forbidden) |
| Miscellaneous | |
| Test date | Sat, 31 Oct 2020 12:36:44 UTC |
| Test duration | 207.44 seconds |
| HTTP status code | 403 |
| HTTP server signature | Apache/2.4.18 (Ubuntu) mod_jk/1.2.41 OpenSSL/1.0.2g |
| Server hostname | ec2-52-213-242-12.eu-west-1.compute.amazonaws.com |
There are many reasons why a certificate may not be trusted. The exact problem is indicated on the report card in bright red. The problems fall into three categories:
A certificate is invalid if:
In some cases, the certificate chain does not contain all the necessary certificates to connect the web server certificate to one of the root certificates in our trust store. Less commonly, one of the certificates in the chain (other than the web server certificate) will have expired, and that invalidates the entire chain.
In order for trust to be established, we must have the root certificate of the signing Certificate Authority in our trust store. SSL Labs does not maintain its own trust store; instead we use the store maintained by Mozilla.
If we mark a web site as not trusted, that means that the average web user's browser will not trust it either. For certain special groups of users, such web sites can still be secure. For example, if you can securely verify that a self-signed web site is operated by a person you trust, then you can trust that self-signed web site too. Or, if you work for an organisation that manages its own trust, and you have their own root certificate already embedded in your browser. Such special cases do not work for the general public, however, and this is what we indicate on our report card.
In some rare cases trust cannot be established because of interoperability issues between our code and the code or configuration running on the server. We manually review such cases, but if you encounter such an issue please feel free to contact us. Such problems are very difficult to troubleshoot and you may be able to provide us with information that might help us determine the root cause.
SSL Report v2.1.8
| Copyright © 2009-2020 Qualys, Inc. All Rights Reserved. | Terms and Conditions |
| Try Qualys for free! Experience the award-winning Qualys Cloud Platform and the entire collection of Qualys Cloud Apps, including certificate security solutions. |
So ziemlich oben steht dort ja bei
| Chain issues | Contains anchor |
und nicht, wie im FF-Suppurt-Artikel
Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites angegeben "Chain issues: Incomplete".
Es fehlt also wohl kein passendes Zwischen-Zertifikat, ist also entgegen dem, was meine Fehlermeldung SEC_ERROR_UNKNOWN_ISSUER suggerieren soll, sondern es scheint sich im Gegenteil um ein selbst-signiertes Zertifikat zu handeln – was vorstehend in der SSL Labs-Ausgabe auch durch
| Issuer | Ingenta CA Self-signed |
untermauert wird (etwas unterhalb von "Chain issues"), und außerdem durch die Tatsache, dass Google Chrome ebenfalls eine Fehlermeldung auswirft bzw. die Seite auch blockiert!
Aber warum lautet dann die FF-Fehlermeldung nicht ERROR_SELF_SIGNED_CERT!?
Meine Frage an Euch lauten deswegen, wie ich weiter verfahren soll:
– die Website vorerst nicht besuchen und zunächst den Betreiber der Website kontaktieren?
– die Warnung umgehen und damit die Website besuchen ("Klicken Sie auf Risiko akzeptieren und fortfahren.")?
– eventuell ein zusätzliches Stammzertifikat importieren – aber bloß wie?
– den Zertifikatsspeicher löschen (die Datei cert9.db und evtl. auch cert8.db)?
Vielen herzlichen Dank an Euch vorab!