ausgewählte Zertifikate lassen sich nicht löschen

    Hallo,
    ich nutze FF 31.2.0 ESR und habe Probleme, Zertifikate zu löschen.
    Innerhalb der Zertifikate gibt es den Button "Löschen oder Vertrauen entziehen". Zunächst sieht es aus, dass das ausgewählte Zertifikat (z.B. TürkTrust) gelöscht ist. Alles mit OK abgeschickt und wieder aufgerufen, steht das gerade eben vermeintlich gelöschte Zertifikat erneut dort.
    Was muss zur wirklichen Löschung unternommen werden?
    Danke und Grüße
    fjord

    Willkommen im Forum!
    Du betreibst Firefox ESR privat oder in einer Firmen-Umgebung? Falls Letzteres solltest du mit deinem Admin sprechen. Ggf. wird dort mit Gruppenrichtlinien gearbeitet, die deine Änderungen nicht zulassen bzw. die diese beim Neustart wieder entfernen.
    Wenn Privat:
    Lese bitte den Artikel Anleitung für Fragen im Forum [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]. Wir benötigen genauere Angaben um zielgerichtet helfen zu können.

    Statt "Löschen oder Vertrauen entziehen" schon mal auf "Vertrauen bearbeiten" und dort alles abgewählt?

    hallo,

    ich nutze den Rechner privat und innerhalb der Einstellungen im Unterpunkt Zertifikate unter "Vertrauen bearbeiten" ist nichts angekreuzt.

    Ich nutze Win7 64 (aktualisiert) und Eset Smart Security 7 (aktuell).
    Welche Systeminformationen werden noch benötigt?
    Und wird das Problem (vermutlich) von Firefox, Windows oder Eset ausgelöst ?

    Was ich merkwürdig finde, dass das Zertifikat zunächst gelöscht wird, beim nächsten Öffnen der Einstellungen
    jedoch wieder existent ist. Vermutlich wird das Aktualisieren in einer etwaigen Zertifikatsdatei nicht gespeichert.

    Ich habe mal ein wenig recherchiert und mir die Datei certmgr.msc in Win angesehen. Vielleicht muss man als Admin angemeldet sein, um Zertifikate dauerhaft löschen zu können. Kann ich leider gerade nicht probieren, da ich zunächst mal mein Admin-Kennwort suchen muss.

    Aber vielleicht gibt es derweil auch noch andere Ideen.

    danke und Grüße

    Halte beim Firefoxstart die Umschalttaste gedrückt und teste, ob sich nun dort etwas bearbeiten löscht und von Dauer ist.. wenn ja.. ist eine Erweiterung daran schuld... ggf. solltest du auch mal im ESET nachschauen, ob dort Änderungen geblockt werden... (... ich nutze diese Software nicht!)

    Fox2Fox
    ich war auf einen Artikel gestoßen, dass es z.B. bei TürkTrust eine Panne in Sachen Zertifikate gab; unabhängig dessen, dass der Vorfall schon etwas her ist, wird es sicherlich so sein, das ich mir nicht vorstellen kann, Websiten zu besuchen auf denen ich TürkTrust-Zertifikate benötige.

    Boersenfeger
    im abgesicherten Modus verhält es sich identisch, dass das Gelöschte nicht gespeichert wird;
    in Sachen Eset muss ich noch tiefer einsteigen;

    Hallo fjord1234,

    Deine Antwort ("...das ich mir nicht vorstellen kann, Websiten zu besuchen auf denen ich TürkTrust-Zertifikate benötige...") zeigt mir zumindest, dass du die Zusammenhänge mit den Herausgeberzertifikaten verstanden hast.
    Trotzdem betrachte ich dein Ansinnen nicht unbedingt als sinnvoll oder besser gesagt, als nicht notwendig.

    Warum?
    Der Herausgeber eines Browsers, Mailclients, Betriebssystems (=> einer Zertifikate prüfender Software) sollte sich verpflichtet fühlen, anhand einer sorgfältigen Prüfung der Policy ("Zertifizierungsrichtlinien") eines jeden TrustCenters verantwortungsvoll die einzelnen Herausgeberzertifikate vorzuinstallieren - oder besser nicht. In diese Prüfung sollten selbstverständlich auch aktuelle Meldungen über Unregelmäßigkeiten eingehen.

    Meiner Erfahrung nach reagieren Microsoft, Mozilla & Co. schon recht zügig auf derartige bekannt gewordene "Unregelmäßigkeiten" und löschen betroffene Zertifizierungsstellen (=> DigiNotar als Beispiel) komplett oder auch nur "verbrannte" Herausgeberzertifikate dieser TrustCenter im Rahmen von Updates aus den jeweiligen Zertifikatsstorer - ohne dass sich die Nutzer darum kümmern müssen. Mitunter ziehen problembehaftete TrustCenter nur die betreffenden Herausgeberzertifikate zurück und verschwinden nicht unbedingt komplett vom Markt, wie es mit DigiNotar passierte.
    Wenn du "einfach so" ein TrustCenter rausschmeißt, dann ist es beim nächsten Update wieder drin. Gerade unter Linux kann ich beobachten, dass der Mozilla-Zertifikatsstore (ca-certificates-mozilla) recht häufig geupdated wird.

    Zitat

    Ich habe mal ein wenig recherchiert und mir die Datei certmgr.msc in Win angesehen.


    Die Produkte von Mozilla nutzen nicht den Zertifikatsstore der WinDOSe sondern bringen einen eigenen Zertifikatsstore mit. Hat was damit zu tun, dass der Fx und der TB ja auch auf den alternativen Betriebssystemen laufen.

    HTH

    MfG WK

    Zitat von WismutKumpel


    Gerade unter Linux kann ich beobachten, dass der Mozilla-Zertifikatsstore (ca-certificates-mozilla) recht häufig geupdated wird.


    Danke. Das ist interessant. Gut, es zu wissen. Ich habe gerade in mein (Windows) Firefox-Profil geschaut. Die cert8.db (das ist doch ist der Zertspeicher?) hat als Änderungsdatum den 14.11. . Ein Firefox-Update lief zu diesem Zeitpunkt nicht. Wie es scheint hat der Firefox ein Cert-Update durchgeführt, auch außerhalb der Programm-Updates.

    Meine eigenen Zertifikate sind alle noch erhalten. Das Update findet daher wohl "punktuell" statt. Das hieße, ich kann weiterhin meine cert8.db in neue Profile übernehmen und muss nicht befürchten, dass ich damit CAs übernehme, denen Mozilla inzwischen nicht mehr traut. Richtig?

    Hallo Valerie,

    Zuerst muss ich dir gleich mal sagen, dass ich (privat) ein reiner Linux-Nutzer bin, ich kann also zu den Verhältnissen auf der WinDOSe nicht allzuviel sagen. (Mein MCSE-Lehrgang ist länger her, als es Mozilla gibt ... .)

    Ja, die von dir erwähnte cert8.db ist die "Client Zertifikat-Datenbank". Es spielt aber auch noch die key3.db (mit den evtl. vorhandenen eigenen Schlüsseln) und auch die secmod.db ("Datenbank der Sicherheitsmodule") eine Rolle. gerade bei der letzten kann ich noch nicht einmal genau sagen, was deren exakte Funktion ist.
    Aber in der cert8.db sind nicht nur die Zertifikate diverser Zertifizierungsstellen enthalten, sondern auch noch die von TLS-gesicherten Servern, welche du kontaktiert hast. Meine cert8.db zeigt zum Bsp. das heutige Datum.

    Unter Linux besteht der Fx und der TB aus mehreren Installationspaketen (die eigentlichen Programme, deren Sprachdateien, die erwähnten Zertifikatspakete, mozilla-nss = das Mozilla-eigene openSSL usw.). Und alle diese Dateien werden unabhängig von den beiden Programmpaketen recht häufig aktualisiert. Ich weiß, dass unter Windows das alles eine Installationsdatei (je Programm) ist, und dass diese wohl nur bei Versionswechseln ausgetauscht werden.

    Zurück zur erwähnten "ca-certificates-mozilla".
    In diesem Paket sind alle per se im TB und Fx installierten Herausgeberzertifikate drin. Diese werden dann bei der Installation dieses Paketes einzeln nach /usr/share/pki/trust/ entpackt. (Und eben ab und an ergänzt/gelöscht/aktialisiert)
    Wenn du wegen Problemen mit dem Zertifikatsmanager die cert8.db löschst, ist sie beim Neustart des Programms wieder da, und auch vollständig befüllt. Jetzt weißt du, woher diese Befüllung bei einem Linux-Rechner kommt!
    Ich gehe mal davon aus, dass das auf dem Fenster-Betriebssystem nach einem ähnlichen Mechanismus funktioniert, denn auch da wird diese Datenbank immer wieder neu und befüllt angelegt.
    [Vermutung]
    Und jetzt meine, diesen Thread betreffende Vermutung: Ein händisch aus dem Zertifikatsstore des Fx oder TB gelöschtes Herausgeberzertifikat wird wohl ebenso wiederhergestellt werden.
    [/Vermutung]
    Ich werde das zu gegebener Zeit mal austesten, indem ich das Herausgeberzertifikat meiner eigenen "Privat-CA" als .pem-Datei in das o.g. Verzeichnis packe. Dann müsste, wenn ich mich nicht an dieser Stelle irre, dieses bei einem neuen Testprofil "von ganz alleine" installiert sein. Schau mer mal .... .

    MfG WK

    Hallo WK,

    zunächst mal danke für die Antwort.

    Zitat von WismutKumpel

    Aber in der cert8.db sind nicht nur die Zertifikate diverser Zertifizierungsstellen enthalten, sondern auch noch die von TLS-gesicherten Servern, welche du kontaktiert hast.


    Das wusste ich bisher nicht. Hab gerade eine entsprechende Seite aufgesucht und kann bestätigen, dass das Änderungsdatum Zugriff auf diese Datei zeigt.
    Für mich als überwiegende Windows-Benutzerin, stellt sich somit die Frage, ob es unter Windows überhaupt Updates der Zertifikat-Datenbank gibt und ob diese auch außerhalb eines Firefox-Updates stattfinden.

    Ich habe nun in einem Testprofil ebenso wie fjord1234 das Zertifikat dieser CA gelöscht. Den Firefox hatte ich zuvor offline gestellt. Beim erneuten Aufruf der Zertifikate (ohne Firefox Neustart) ist es wieder da. Keine der oben genannten Dateien hat einen neuen Zeitstempel erhalten. Daraus schieße ich, es wurde gar nicht erst gelöscht.