FF 30 Neuinstallation: Zertifikat fehlt

    Hallo,
    ich habe mal eine Frage:

    Ich habe den Firefox 30.0 neu installiert und keinerlei Daten von vorher übernommen.
    Nun habe ich Probleme, die Seiten bei dem Anbieter aufzurufen:
    https://www.starmoney.de/

    Anscheinend fehlt mir ein Zertifikat von der Firma Twathe, oder die Zertifikatskette ist unterbrochen.
    Mit dem IE bestehen diese Probleme nicht.
    Die üblichen Dinge wie Uhrzeit, AV-Programm, usw. habe ich ohne Erfolg durchprobiert.

    Natürlich kann ich das Zertifikat aus der Fehlermeldung runterladen und dann läuft es.
    Das erklärt aber nicht, warum es auf meinem Rechner nicht vorher funktionierte.

    Ach ja, dass ich XP habe, wisst Ihr sicherlich noch. :klasse:

    Ich glaube die Antwort ist ganz einfach. Der Fx hat einen eigenen Speicher für die Zertifikate. Der IE benutzt den von Windows. Wenn du den Fx vollständig neu installiert hast, hast du auch einen frischen Speicher für die Zertifikate angelegt. Darin befinden sich zunächst nur die Zerts, die Mozilla mitliefert.

    Die Fehlermeldung bezieht sich auf ein Zertifikat von "thawte Extended Validation SSL CA". Diese CA ist wahrscheinlich bei Sören im Fx enthalten, bei Werner nicht.

    Zitat von BS2000

    Die Fehlermeldung bezieht sich auf ein Zertifikat von "thawte Extended Validation SSL CA". Diese CA ist wahrscheinlich bei Sören im Fx enthalten, bei Werner nicht.

    Ja, das ist richtig. Aber warum fehlt das bei mir?

    Weil dein Fx diese CA nicht gleich als vertrauenswürdig dabei hat. Oder sie war mal vorhanden und du hast sie gelöscht. Wenn du die CA zuvor schonmal hinzugefügt hattest, dann ist sie jetzt weg, weil du ein neues Profil angelegt hast. Füge eine Ausnahme hinzu und alles ist gut.

    Das ist Erklärung, mit der ich nicht zufrieden bin.
    Bei allen funktioniert es, nur bei mir nicht. Also muss diese CA doch überall dabei sein.
    Und ich denke nicht, dass die alle was mit StarMoney zu haben.

    Ich habe noch nie beim FF eine CA hinzugefügt. Und es hat bisher immer funktioniert.
    Klar kann ich die Ausnahme hinzufügen. Aber das macht mich nicht richtig glücklich.

    Gruß
    Werner

    Na dann kann ich dir nicht helfen. Ich habe es mit einem ganz frischen xp in einer VM mit einem ebenso frischen Fx 24.6 getestet und habe genau diese Hinweismeldung bekommen, weil das Zertifikat fehlt. Vielleicht liest du dich mal schlau, was eine CA und ein Wurzelzertifikat überhaupt sind.
    Ich bin kein Kunde bei starmoney. Die Entscheidung, ob du denen und ihrem Thawte-Certificate traust oder nicht, musst du schon selbst fällen. Ich finde das sogar besser als wenn andere, ohne dass du es bemerkst, dies automatisch für dich tun. Insofern sei doch froh über die Hinweismeldung. Ansonsten musst du halt unglücklich bleiben.

    Einmal editiert, zuletzt von Anonymous (12. Juli 2014 um 18:21)

    Zitat von Six..pack

    Bei allen funktioniert es, nur bei mir nicht.

    Bei mir in einem Profil ohne irgendwelche Erweiterungen komme ich auch nicht auf die Seite, sondern erhalte die Warnung. (Win 7 - Fx 30.0). In meinem Arbeitsprofil hingegen komme ich problemlos auf die Seite. Allerdings ist das Arbeitsprofil auch schon älter und wird seit mehreren Fx-Versionen genutzt (ich weiß nicht mal mehr genau seit welcher Version - vielleicht die Version 4 oder doch erst 20?).

    Vielleicht stehe ich ja auf dem Schlauch. Ich kann beim besten Willen keine guten Gründe erkennen, im Gegenteil. Aus oben genannten Link, Hervorhebung von mir:

    Zitat


    On June 27 2010, in the interest of better security, thawte signed all certificates with a primary and secondary intermediate that need to be installed along with the SSL certificate. Any certificate issued on or after this date requires the primary and secondary intermediate to be installed.

    Das ursprüngliche Root wird von Mozilla ja auch nach wie vor mitgeliefert. Grundsätzlich vertrauen sie Thawte also. Für mich sieht das eher so aus, als hätte das bei Mozilla keiner nachgepflegt.

    Zitat von Bernd.

    Mozilla hat schon Gründe das "Thawte SSL CA" nicht zu beinhalten :idea:

    Genau das macht Mozilla aber und es gibt auf Bugzilla auch keinen Bug, in dem es um die Entfernung geht, auch im Security-Blog keine Erwähnung. Lediglich Thawte Server CA und Thawte Premium Server CA werden entfernt werden, aber das ist erst für Firefox 33 geplant.

    Also hier wird das als "Software-Sicherheitsmodul" angezeigt. Ich kann allerdings wie Roadie auch nicht sagen, wann und woher, da dieses Profil auch schon ewig alt ist (mit gelegentlichen Entrümpelungen).

    Allerdings ist mir das folgenden aufgefallen, was hier anders angezeigt wird:
    Equifax
    - MD5CollisionsInc.(http---http://www.phreedom.org-md5)

    Steht im neuen Profil unter "Server", und im alten Profil unter "Zertifikatsstellen". Ein Import löscht es unetr "Server" raus, steht aber im anderen Tab dennoch drin. Das verwirrt mich, ist allerdings nicht weiter wichtig, weil es so oder so enthalten ist.

    Die beiden von dir genannten fallen hier unter "Thawte Consulting cc" (2 insgesamt), die anderen unter "thawte, Inc." (6 insgesamt).

    Um vielleicht etwas Licht ins Dunkle zu bringen. Insgesamt geht es um 4 Zertifikate. Da drei davon von Thawte stammen und daher ähnlich heißen, wird das schnell unübersichtlich. Ich verstehe die Kette so:

    Das Cert, um das es hier geht ist Thawte Extended Validation SSL CA
    Es wurde 2006 ausgestellt von der Thawte Primary Root CA der Thawte, Inc und ist bis 2016 gültig.
    Das Cert des Ausstellers, also Thawte Primary Root CA, wird von Mozilla mit ausgeliefert und ist deshalb auch als "Builtin Object Token" gelistet. Dieser CA vertraut Mozilla also pauschal.

    Thawte hat nun in 2010 seine Vorgehensweise geändert und aus Sicherheitsgründen eine weitere CA, nämlich Thawte CA, dawischen-geschaltet. Aus Sicht des Browsers:

    2006 bis 2016: Starmoney Cert -> Thawte Extended Validation SSL CA -> Thawte Primary Root CA
    2010 bis 2020: Starmoney Cert -> Thawte Extended Validation SSL CA -> Thawte SSL CA -> Thawte Primary Root CA

    Der Gültigkeitszeitraum überschneidet sich. Starmoney verwendet nun offenbar ein Cert, dass nach dem Stichtag in 2010 ausgestellt wurde. Wenn die zugehörige CA, also Thawte Extended Validation SSL CA nicht bereits vorhanden ist, kommt es zum Fehler, weil Thawte SSL CA als neuer Herausgeber von Thawte Extended Validation SSL CA nicht bekannt ist.
    Hat man in seinem Profil allerdings noch den alten Eintrag aus dem Software Security Device, dann hat man bis 2016 Ruhe.

    Thawte Server CA und Thawte Premium Server CA gehören übrigens zur Thawte Consulting cc (nicht zur inc.) und sind somit eine andere Baustelle.

    Zitat von BS2000

    Thawte Server CA und Thawte Premium Server CA gehören übrigens zur Thawte Consulting cc (nicht zur inc.) und sind somit eine andere Baustelle.

    Ja, eine vollkommen andere Baustelle. Wir sprechen hier von einer einzigen Firma, Thawte, Tochter von Symantec. Ich denke nicht, dass wir, wenn wir darüber sprechen, eine harte Unterscheidung zwischen Thawte Consulting und Thawte Inc. machen müssen. Unterscheidest du in deinen Beiträgen denn die Mozilla Foundation und Mozilla Corporation, oder sprichst du nicht auch immer einfach von Mozilla? Und ich fang jetzt gar nicht erst mit den anderen Departments an, wie zum Beispiel Mozilla Online ("Beijing Mozilla Online Ltd") oder Mozilla Taiwan, die einen großen Teil der Firefox OS-Entwicklung machen. Das sind alles eigenständige Organisationen. Aber eben alles Mozilla. Das wäre Haarspalterei.