Firefox 54.0 Selbstsignierte Zertifikate

    Hallo zusammen,

    ich habe das Problem, dass seit Firefox Version 54.0 keine selbstsignierten Zertifikate mehr akzeptiert werden und das typische Warnfenster stattdessen angezeigt wird:
    fbd01pss verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

    Bis Version 53.0.2 lief alles noch wunderbar und im IE (11/Windows 7) funktioniert es auch noch.
    Die selbstsegnierten Zertifikate werden in den Windows Zertifikatsspeicher per GPO importiert und Firefox lädt sich diese beim Start rein. Dies haben wir über about:config unter security.enterprise_roots.enabled geändert.

    Wieso wurde dies nun abgeschalten oder entfernt?
    Im ChangeLog der Version 54.0 oder 54.0.1 steht nichts dazu.

    Grüße
    dcz01

    Vielleicht interpretiere ich die Frage von dcz01 falsch aber ich dachte er sehe auch das Erweitert-Menü nicht mehr? (das passiert bei einige Fehlerarten) Oder geht es ihm wirklich nur darum dass die Zertifikate nicht mehr importiert werden?

    Es geht ihm wohl darum, dass überhaupt diese Meldung erscheint, obwohl alle Zertifikate importiert sind. Soweit ich es verstanden habe (er war vorhin im Chat) will er nicht bei jeden einzelnen in der Firma eine Ausnahme hinzufügen. Vor Firefox 54 musste er das wohl auch nicht.
    Ich zitiere mal aus dem Chat

    Zitat

    dcz01: ich habe schon eine ausnahme hinzugefügt. hätte es aber gerne ohne... warum geht es seit ff 54 nicht mehr wie zuvor?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Hallo dcz01,

    wenn die Ursache, wie von dir vermutet, in Bug 1294580 begründet liegt, dann existert zu dem zu importierenden Zertifikat kein Herausgeberzertifikat. Deshalb wird es gar nicht erst importiert.
    Sollte das zutreffen, dann liegt die Lösung darin, das zugehörige Herausgeberzertifikat ebenfalls im Zertifikatsspeicher von Windows zu hinterlegen.

    Für die im Bug angeführten Testseite lässt sich eine Ausnahme hinzufügen. Das lässt mich vermuten, dass dieses strickte Vorgehen nur für den Import aus Windows implementiert wurde. Es könnte daher sein, dass das Hinzufügen einer Ausnahme auch in deinem Fall funktioniert.
    Die meiner Meinung nach bessere Lösung wäre die, die Zertifikatskette in Ordnung zu bringen.

    Ich hoffe, das hilft dir weiter

    Carnot