Adressleiste nicht mehr grün bei EV Zertifikaten

    Hallo,

    ich habe das Problem, dass seitdem ich "Sync" verwende mir in der Adressleiste bei EV Zertifikaten diese nicht mehr grün angezeigt werden wie anhand des Beispiels für https://www.mozilla.org/de/ (siehe Bild).

    Wenn ich den FF zurücksetze, wobei alle Lesezeichen etc. erhalten bleiben, dann funktioniert danach auch wieder die Anzeige der grünen Adressleiste. Sobald ich mich aber wieder bei "Sync" anmelde und die Synchronisierung fertig ist, habe ich wieder das selbe Probleme, das EV Zertifikate ohne die grüne Adressleiste wie ein normales Zertifikat angezeigt werden.

    Aktuell nutze ich FF 31.0, also den aktuellsten. Ich weiß mir hier leider keinen Rat mehr woran das noch liegen könnte, klar ist aber das, dass Problem erst entsteht wenn ich mich wieder mit meinem Sync-Account verbinde. Vielleicht kennt jemand das Problem oder hat eine Lösung parat, dass wäre echt super.

    Was genau soll ich hier prüfen? Ich habe keine Ideen mehr, was ich noch prüfen kann oder sollte, daher auch meine Frage ob irgend jemand genaueres weis. Die Einstellungen sind auf allen Geräten gleich, also prinzipiell Standard, sodass im wesentlich eigentlich nichts verändert wurde.

    In den Einstellungen habe ich jetzt auch nichts finden können, womit man mal ebenso die Grüne Adressleiste abschalten kann, warum sollte man das auch können!?

    Ich meine es gibt einen about:config Schlüssel mit dem man das steuern kann. Wenn dieser nun in einem der Geräte via user.js geändert ist, setzt sich diese Einstellung durch. Leider finde ich gerade den Schlüsselnamen nicht.
    BTW: Eine user.js wird entweder vom Nutzer oder von Erweiterungen und/oder Programmen angelegt. Vielleicht suchst du mal im jeweiligen Profilordner der Geräte, ob diese Datei zu finden ist. Wenn ja, dann öffne sie mit einem Editor und poste den Inhalt.
    Ggf. weiß auch noch jemand anderes weitere Lösungsansätze...
    BTW2: Ich könnte mir vorstellen, das diese Änderung entweder aus kosmetischen Gründen oder mit böswilligem Hintergrund erfolgen könnte... Entsprechende Schritte sollten dann eingeleitet werden... Malwarebytes und ähnliches...

    Infiziert ist definitiv nichts. Alle Geräte sind sauber, das kann ich also zu 99% ausschließen. Rechner z.B. wurde erst vor 2 Tagen neu installiert. FireFox ebenfalls neu installiert ohne das Profil zu kopieren und dann nur wieder mit Sync verbunden, sobald Sync fertig ist und der FF neu gestartet wurde, besteht das Problem.

    Wenn ich den FF zurücksetze, bleiben alle Einstellungen, Lesezeichen etc. erhalten nur die Verbindung zu Sync wird getrennt, auch danach ist die Grüne Adressleiste wieder da. Melde ich mich wieder bei Sync an, ist Sie nach dem Sync wieder weg.

    Das ist soweit das, was ich hier Festellen konnte bzw. das Problem näher eingrenzen.

    Eine user.js ist auf keinem der Geräte vorhanden.

    ... suchen im Walde... vielleicht ist im Firefox des Android-Geräts die farbliche Darstellung nicht aktivierbar? Ich nutze auf meinem Smartphone FFOS... ansonsten weiß ich nicht weiter.. ggf. meldet sich noch jemand anderes dazu..

    Hallo allerseits ...

    ich nutze hier die v.31.0 unter Linux (openSUSE 13.1) und ich kann mich nicht erinnern, hier jemals eine grüne Adessleiste gehabt zu haben. Ich habe allerdings damit auch keinelei Problem. Ich sorge schon dafür, dass unsichere Kandidaten unter den Herausgebern rechtzeitig aus dem Zertifikatsstore rausfliegen. (Ich guttenborge dazu dienstliches Wissen und wende es privat an. Tage oder Wochen später zieht dann ein Update zumindest teilweise nach.)

    [Vermutung!]
    Könnte es evtl. sein, dass du auf einem der anderen synchronisierten Geräte irgend ein Add-on oder Thema oder eine dir nicht bewusste Einstellung hast, welche sich dann per Sync auf dem bewussten Client auswirkt?
    [/Vermutung]
    edit: Ich sehe gerade, dass etwas derartiges/ähnliches Börsenfeger auch im Beitrag #4 vermutet.

    MfG WK

    .Hermes:
    Lass dir bitte mal das Zertifikat anzeigen und poste bitte die Ansicht hier. Will nur mal vergleichen.
    BTW: Bei mir ist die Anzeige auch blau/schwarz und ohne Anzeige des Seitenbetreibers. Dem will ich mal mit dem Vergleich auf den Grund gehen.

    Hallo,

    das Forum hat zwar ggw. andere Probleme, mit denen es sich "mit Freude" befasst ... , aber ich habe versprochen, mir die Zertifikate mal genauer anzusehen und das will ich jetzt abschließen.

    Egal mit welchem meiner drei installierten Browser (Firefox, Konqueror und Opera) ich die Seite https://www.mozilla.org aufrufe, es wird wie zu erwarten, immer das gleiche Zertifikat angezeigt und es ist als solches auch herunterzuladen.
    Die Zertifikatsseriennummer (08:e4:ee:f2:d2:a0:92:ae:d3:1e:40:b9:95:70:fe:29), die Gültigkeitsdauer, der SHA-1-Hash und der angezeigte MD-5-Hash sind überall gleich und entsprechen den Werten, welche in den Screenshots meiner beiden Vorposter ebenfalls zu sehen sind. Zum SHA-256 komme ich noch.

    Ich habe mir auch die Signatur durch den Herausgeber (DigiCert Inc.) angesehen, und deren Herausgeberzertifikat mit einem frisch von denen importierten verglichen => das verwendete Zertifikat von http://www.mozilla.org ist korrekt signiert und somit "sauber". Wenn wir also dem Herausgeber vertrauen, können wir auch dem Z. von mozilla vertrauen.

    Zu dem in der Anzeige fehlenden SHA-256-Hash:
    Der in der Anzeige zu sehende Hashwert ist jener, der bei der Hashwertprüfung eines im Binärformat (also .der) heruntergeladenen Zertifikates angezeigt werden sollte. Dabei ist es fast uninteressant, ob es sich um einen SHA-1, SHA-256 oder MD5-Hash handelt. Auch wenn MD5 heutzutage als gebrochen gilt und SHA-1 baldmöglich außer Dienst gestellt werden sollte (das empfiehlt das BSI schon mindestens 8 Jahre), so bedeutet das doch lediglich, dass ein "Angreifer" mit viel Zeit und Rechenleistung künstlich eine Datei generieren könnte, welche einen bestimmten, gewünschten Haswert aufweist. Also meinetwegen den eines Zertifikates. Aber diese Datei ist dann lediglich eine größere Ansammlung binären Mülls, welche eben den gewünschten Hashwert hat. Ein verwendungsfähiges Zertifikat ist es garantiert nicht! Intern wurde für die Signatur "unseres" Zertifikates so wie so SHA-256 verwendet.
    Die im Zertifikat angezeigten Haswerte sind also lediglich ein Hilfsmittel für "misstrauische" (nein, besser: "sicherheitsbewusste"!) User, welche sich ein Zertifikat mal ganz genau ansehen wollen.

    Unabhängig davon kann ich jede mir in die Finger kommende Datei mit der Vielzahl der uns zur Verfügung stehenden "Haswertgeneratoren" (besser: Prüfsummenwerkzeuge) in ihren Haswert zerlegen. Und wie ihr gleich seht, stimmt auch der SHA-256-Hash des mozilla-Zertifikates mit dem im Screenshot von .Hermes angezeigten überein:

    Code
    peter@sonne:~/Dokumente> sha1sum www.mozilla.der 
6a5ab45927d1165d5d22e47a09d078979f36823d  www.mozilla.der
peter@sonne:~/Dokumente> 
peter@sonne:~/Dokumente> sha256sum www.mozilla.der 
d475eedbffe1eef8191e3e4b88f37311ff6667c502bd9778ec8710e872f91eb9  www.mozilla.der
peter@sonne:~/Dokumente> 
peter@sonne:~/Dokumente> md5sum www.mozilla.der 
8f917e81269067d7d65397a694d05843  www.mozilla.der
peter@sonne:~/Dokumente>

    Zurück zur "grünen Adressleiste":
    Das was man neuerdings gerne als "EV-Zertifikat" bezeichnet ist genau das, was bei uns als "Zertifikat für die qualifizierte elektronische Signatur" für Personenzertifikate durchgeht. Und eine der Voraussetzungen für ein QES-fähiges (Personen-)Zertifikat ist (§5 SigG) die "Sichere Identitätsprüfung der antragstellenden Person". Und deshalb muss der Antragsteller für ein Serverzertifikat bei uns mit einem notariel bestätigten Handesregisterauszug nachweisen, dass seine Firma diesen Server betreibt und er selbst bestellberechtigt ist. Das bestätigt dann der Herausgeber in dem von ihm signierten Zertifikat, Servername und Eigentümer. Eigentlich sollte das ja auch die Hauptaufgabe eines seriösen TrustCenters sein!
    Leider überfluten "Billigheimer" und "Kostnix-Zertifikate" den Markt und leider werden zunehmend auch derartige Herausgeber mit ihren Herausgeberzertifikaten in die Browser usw. bereits vom Hersteller aus installiert. Das bedeutet, kein (Normal-)Nutzer kann mehr sicher davon ausgehen, dass der eingetragene Eigentümer des Servers authentisch ist.
    In den kryptischen Zahlenkolonnen unter "Erweitert" im Zertifikat verbergen sich die zwar öffentlich dokumentierten aber nur Fachleuten bekannten Richtlinien und Zertifikatsklassen (Policy). Und ich vermute mal, dass diese Einträge der Firefox auswertet und damit die Kennzeichnung in der Adresszeile gestaltet. Ich wüsste sonst nicht, wo dieses in einem Zertifikat sonst noch untergebracht werden kann.
    Und ich weiß auch nicht, warum mein eigener Firefox ein so genanntes "EV-Zertifikat" nicht erkennt und immer nur ein graues Schloss anzeigt - und der Firefox von .Hermes dieses drauf hat. Aber ich muss ja auch nicht alles wissen ;)


    MfG WK

    Query OCSP responder servers to confirm the current validity of certificates

    about:config?filter=security.OCSP.enabled

    Benutze ich den Wert 0 ist das Grünes Sperrschloss
    "Die Adresse der Webseite wurde mittels eines erweiterten Validations-Zertifikates (EV) verifiziert."

    nicht grünlich gefärbt. Siehe Bild von DannYFreSh -> https://www.camp-firefox.de/forum/download/file.php?id=11468
    [Blockierte Grafik: http://www.bilderhoster.net/safeforbilder/glajdtb1.jpg]

    Gruß, der_nachdenklicher
    Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0 ID:20140716183446 CSet: 32dddf30405a

    OK, das bedeutet also, dass der Firefox dieses "Sicherheitsfeature" lediglich von einer positiven OCSP-Antwort abhängig macht? Na ja ... .

    Bei mir war (zur Erinnerung: immer nur "graues Schloss") Security.OCSP.enabled = 0 und das bedeutet: Status = vom Benutzer geändert.
    Ich kann mich nur nicht erinnern, diese Einstellung jemals geändert zu haben. Zum einen wüsste ich das, und zum anderen habe ich mir schon vor Jahren angewöhnt, jede Änderung an irgend einer Konfigurationsdatei zu dokumentieren.

    Flugs auf "1" geändert, und schon wird das Schloss bei https://mozilla.org grün. Damit der Beweis, dass man das nicht etwa an der Policy festmacht, sondern lediglich am OCSP-Responder.

    BTW:
    Netter Nebeneffekt: Ich betreibe für meine gar nicht mehr so kleine "Privat-CA" einen eigenen OCSP-Responder. Und dieser ist selbstverständlich auch in allen meinen Zertifikaten eingetragen. Und nun zeigen mir die TLS-Verbindungen zu meinen beiden RasPi und zu meiner Synology-NAS, dass ich hier eigene "EV-Zertifikate" produziere. Schööööön! ;)
    Da muss ich doch gleich mal eines der Zertifikate sperren und mal sehen, ob das dann wenigstens richtig im Browser angezeigt wird.

    Meinen Dank für die Lösung des "Problems" an den Nachdenklichen!


    MfG WK

    Interessanterweise funktioniert durch diese Einstellung die Grüne Adressleiste bei mir nun auch wieder auf anderen Seiten, jedoch bleibt es bei der Mozilla Seite bei dem grauen Schloss, komisch.