SSLv3-Fehler bedingt ausschalten oder Meldung umgehen

Wollie

Hallöchen,

kann nicht auf meinen WLan-Router (Cisco, älteres Modell) zugreifen.

Es erscheint folgende Seiten-Ladefehler-Meldung: "Keine sichere Verbindung möglich Firefox kann nicht für die Sicherheit Ihrer Daten auf xxx.xxx.x.xxx garantieren, da diese Website das unsichere SSLv3-Protokoll verwendet. Weitere Informationen… xxx.xxx.x.xxx verwendet Sicherheitstechnologie, welche veraltet und verwundbar ist. Ein Angreifer könnte leicht Informationen entschlüsseln, welche Sie für sicher hielten. Weitere Informationen: SSL_ERROR_UNSUPPORTED_VERSION". Zwischen-Hinweis: Die Url. ist eine https-Adresse. Rufe ich "Weitere Informationen" auf, wird dort aber nicht beschrieben, wie ich unter bestimmten Voraussetzungen eine solche Zurückweisung umgehen kann (im Gegensatz zu anderen ähnlichen Fehlermeldungen).

Zum weiteren Verständnis: Der WLan-Router befindet sich hinter einem DSL-Router mit Modem innerhalb eines häuslichen Netzwerkes, um auch z. B. Handys oder Notebooks ohne Netzwerk-Kabel den Zugang zum Internet gesichert zu ermöglichen.

Die WLan-Url. habe ich in den FF-Einstellungen 2x als ausdrücklich erlaubte Ausnahme eingetragen: Unter Datenschutz/Cookies akzeptieren sowie unter Sicherheit/Allgemein. Vermutlich war dies unnötig.

Frage also: Wie kann ich die oben beschriebene Verweigerung unter FF umgehen, um an meinen WLan-Router zu kommen? Übrigens: Mit IE oder Edge klappt's auch nicht.

Mein System: Windows 10 sowie FF 46.01 u. a. mit den Erweiterungen AdblockPlus, NoScript und TabMixPlus.

Schon jetzt meinen herzlichen Dank aus der Stadt des Bartmannkruges.

Wollie

Edit 2002Andreas
Ich habe Deinen Beitrag mal verschoben nach: Allgemein

Boersenfeger

Seit wann ist das so?
Da es mit keinem Browser funktioniert tippe ich auf eine Sicherheitssoftware...
Welche ist installiert?
Aktualisiere zunächst auf Firefox 47.0.1
Dann
https://support.mozilla.org/de/kb/fehlerme…_unknown_issuer

Wollie

Hallöchen,

eingangs ein herzliches Dankeschön für die Antwort.

1.) Seit wann das so ist, kann ich nicht sagen. Wollte heute mein TV-Gerät und ebenso meinen Raspberry ins Netz einbinden; dafür muss ich die jeweils aktuelle IP wissen; ggf. wollte ich eine feste IP vergeben.
2.) Muss Dank Deiner Zeilen feststellen, dass sich FF schon wieder nicht selbst aktualisierte, obwohl unter Einstellungen/Erweitert das automatische Update aktiviert ist. Das also ist somit eine neue Baustelle (sonst wird's ja langweilig ;-)).
3.) Die o. g. Url. bezieht sich aber auf einen anderen Fehlercode: SEC_ERROR_UNKNOWN_ISSUER.
4.) Mein Fehlercode lautet jedoch: SSL_ERROR_UNSUPPORTED_VERSION.
Trotzdem:
5.) Habe FF auf v47'0'1 (x64) aktualisiert.
6.) Habe unter Bitdefender IS 2016 die Einstellung SSL scannen deaktiviert.
7.) Habe das System komplett neu gestartet.
8.) Und siehe da: Die SSLv3-Fehlermeldung lebt fröhlich weiter :-??? .

Was nun?

Wollie

AngelOfDarkness

Dann mache erstmal einen Scan mit dem AdwCleaner und poste dann hier mal das Suchergebnis : http://www.at2907.net/downloads/adw.php

du könntest aber auch nach folgender Anleitung die Warnung umgehen für deinen Router, natürlich nur für den Fall, dass keine Malware als Ursache für das Problem besteht : https://support.mozilla.org/de/kb/sichere-…warnung-umgehen

madperson

falls der router wirklich nur sslv3 kann wirst du den mit modernen browsern nicht mehr ansteuern können, da sslv3 nicht mehr sicher ist & nicht mehr unterstützt werden darf: https://tools.ietf.org/html/rfc7568

Sören Hentzschel

Hier Mozillas Ankündigung dazu aus dem Jahr 2014 (!):
https://blog.mozilla.org/security/2014/…end-of-ssl-3-0/

Wollie

Hallöchen zusammen und ein herzliches Dankeschön für Eure Informationen und Vorschläge.

@ Sören Hentzschel:
@ madperson:
Dank meiner "vorzüglichen" Englisch-Kenntnisse konnte mir aber Google helfen. Dass diese Maßnahme Sinn macht, darüber gibt's keine Diskussion. Aber irgendwie muss ich doch an den WLan-Router 'rankommen, wenn es z. B. ein Upgrade gibt, mit dem neue + sicherere Protokolle aufgespielt werden könnten. Der Router kann doch nicht allein wegen eines Protokolls zu Müll werden :grr:. Nicht zu vergessen ist, dass dieser Router im vorliegenden Sonderfall durch ein vorgeschaltetes Router-Modem schon geschützt ist, wie ich bereits schrieb.

Einem geschenkten Gaul, schaut man bekanntlich nicht in's Maul. Denn dieser WLan-Router wurde mir ohne jegliche Beschreibung und ohne Zubehör überlassen. Denken wir einmal anders herum. Kann man FF zwingen, nur ein bestimmtes Prokoll zu verarbeiten? Wenn ja, wie? Mein Gedanke: Wenn man feststellen würde, welche Protokolle der Router verarbeiten kann, kann man FF dann zwingen, ausschließlich diese Protokolle zu verwenden?

@ AngelOfDarkness:
1.) Macht die Prüfung mit AdwCleaner auf Grund der Hinweise von Sören Hentzschel und madperson noch Sinn?
2.) Der Artikel war mir bereits bekannt. Ich vermute, der letzte Abschnitt "Die Warnung umgehen" ist gemeint. Ich bin jedoch nicht damit klar gekommen, da ich die Beschreibung nicht in den aktuellen FF-Einstellungen wieder gefunden habe. Auch in dem TAB-Fenster "Seiten-Ladefehler", der meinen Aufruf abweist, finde ich diese Befehle oder Schaltflächen nicht. Was verstehe ich falsch?

Sollte ich keinem Aha-Erlebnis frönen können, werde ich mich an Cisco wenden. Vielleicht bin ich ja nicht der Erste, der ein solches Problem hat.

In diesem Sinne nochmals Danke für Eure Hilfen. Mein Schnarchkissen ruft; ich wünsche eine gute Nacht.

Wollie

AngelOfDarkness

Wollie,

gebe mal den genauen Typ des Routers bekannt. ggf. hätte ich zwei Lösungen für das Problem.

Sören Hentzschel

Zitat von Wollie

Kann man FF zwingen, nur ein bestimmtes Prokoll zu verarbeiten? Wenn ja, wie? Mein Gedanke: Wenn man feststellen würde, welche Protokolle der Router verarbeiten kann, kann man FF dann zwingen, ausschließlich diese Protokolle zu verwenden?

Grundsätzlich schon. Nur SSLv3 wird überhaupt nicht mehr unterstützt, das kann Firefox nicht mehr. Eine Zeit lang war eine Aktivierung relativ einfach wieder möglich, aber jetzt nicht mehr. SSLv3 ist ein Standard aus dem Jahr 1996, das ist 20 Jahre (!) her, den ersten nachfolger TLS 1.0, den Firefox nach wie vor unterstützt, gibt es nun auch schon seit 17 Jahren (!). Mittlerweile sind wir bei TLS 1.3 (Unterstützung ab Firefox 49).

Wollie

@ AngelOfDarkness:

Cisco WAP4410N

Vorab schon 'mal Danke.

Wollie

AngelOfDarkness

Wollie

danke für die Info. Die eine Variante hat sich eh schon erledigt und für die andere kontaktiere ich dich hier per PN.

AngelOfDarkness

Das Problem könnte Wollie mit etwas gedanklicher Hilfe lösen Die Lösung war einfach, sollte aber aus Sicherheitsgründen nicht weiter publik gemacht werden, deswegen der Weg über PN inkl. Aufklärung der Risiken.

ccm

Falls die Lösung darin besteht, per http auf den Router zu verbinden, kannst du doch ruhig schreiben, dass das Riskio darin besteht, dass das Passwort für den Login unverschlüsselt übertragen wird. Was bei einem WLAN-Router natürlich ziemlich blöd ist.

Da würde ich mir lieber für die Administration des Routers eine alte Version des TB vorhalten, mit einem eigenen Profil und natürlich nur für diese eine Aufgabe.

AngelOfDarkness

Genau ..

Punkt a) ... wäre die Lösung .. sicher doch Lies dir nochmals alles genau durch ...
Punkt b) ... die Lösung hat nix mit dem TB zu tun.. was sollte ein Mail-Client auch ausrichten *lol*

ccm

Zitat von AngelOfDarkness

Genau ..
Punkt a) ... wäre die Lösung .. sicher doch Lies dir nochmals alles genau durch ...

Gut, dann hilf mir blinden Troll mal weiter. Ich lese hier nichts, was dieser Lösung entgegensprechen würde.

Zitat von AngelOfDarkness

die Lösung hat nix mit dem TB zu tun..

Touché! Das sollte natürlich Fx heißen. Hier hat wohl der Umstand zugeschlagen, dass ich gerade dabei bin von Evolution probehalber auf den TB umzusteigen und mich dieser Vogel heute schon einige Stunden gekostet hat.

In diesem Zusammenhang, wenn mir hier jemand Genaueres zu dieser Meldung sagen kann
[TCP Out-Of-Order] 993 > 55759 [FIN, ACK] Seq=6354 Ack=1167 Win=5522 Len=0
das wäre nett. Gern auch über PN falls ein fremdes Thema hier stört.

AngelOfDarkness

@ccm,

zu a) .... so einem schlauen und wissendem Kerlchen muss man das doch nicht erklären oder ?

zu out of order..... ist das was der Name sagt... ausser der Reihenfolge .... da kommen die Datenpakete/Segmente nicht in korrekter Reihenfolge an. Somit müssen einzelne Paketsegmente unter Umständen, falls sie verworfen wurden, neu angefordert werden. Ergo minimal längere Ladezeiten ....

ccm

Zitat von AngelOfDarkness

so einem schlauen und wissendem Kerlchen muss man das doch nicht erklären oder ?

Doch, ich bitte darum. Ich kann dir nämlich nicht folgen und weiß immer noch nicht, was daran nicht stimmen sollte.

Zitat von AngelOfDarkness

ist das was der Name sagt... ausser der Reihenfolge

Gut, so schlau war ich dann auch, zumal es ja eine TCP- und keine UDP-Verbindung ist. Mir ging es um diesen Teil: [FIN, ACK] Seq=6354 Ack=1167 Win=5522 Len=0
Das hätte ich vielleicht dazu schreiben sollen. Mein Fehler. Das Ganze hat sich übrigens erledigt, denn mit Outlook sehe ich diese Fehler nicht.

AngelOfDarkness

@ccm

der TE hat in seinem ersten Post geschrieben :

Zitat von Wollie

...Die Url. ist eine https-Adresse..

und diese verlangt nun mal das uralte SSLv3... also nix mit http....

ccm

Das hatte ich schon gelesen. Und? Das ist kein Punkt, der gegen meinen Vorschlag spricht. Es steht ja nirgends in dem Beitrag, dass zwingend eine verschlüsselte Verbindung erforderlich wäre. Jede Fritzbox lässt sich z.B. per http erreichen.

Ich kann meinen Router per http und https erreichen. Ich weiß natürlich nicht, ob das mit Cisco von Wolle möglich ist. Zumindest steht nirgends das Gegenteil. Deshalb halte ich deine etwas überhebliche Antwort in den Beiträgen #14 und #16 für ziemlich unangebracht.

AngelOfDarkness

nur das der TE von keinem Router gesprochen hat, sondern von einem Wlan-AP und das Cisco nicht AVM ist und schon früher etwas bessere Sicherheitsstandards wie das genannte Protokoll und Zertifikate eingesetzt hat only. Hast du es schon mal geschafft, z. B. auf einen 6...8 Jahre alten 24 Port Switch von Cisco nur per http zu kommen mit einem aktuellen Firefox ? Geht nicht, genausowenig wie per https, weil du dann einen "ungültiges Zertifikat"-Fehler bekommst (ich weiss, kann man umgehen/jedes mal wegklicken)... von daher kann ich mir mit diesem Wissen durchaus vorstellen, dass auch bei einem AP von Cisco es nur "verschlüsselt" geht.