Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

  • Firefox-Version
    FF-Version: 78.3.0esr (64-Bit)
    Betriebssystem
    OS: LMDE 3 Cindy (64-Bit)

    Hallo zusammen,

    beim Versuch, die Webseite https://ecdcstage.ingenta.com/content/10.280…20.25.5.2000080 aufzurufen, erhalte ich vom FF lediglich die folgende Fehlermeldung:

    Nach dem Klicken auf "Fehlercode: SEC_ERROR_UNKNOWN_ISSUER" erschien folgendes:

    Nach dem Klicken auf "Zertifikat anzeigen" erschien folgendes (leider muss ich hier den Quellcode einfügen, weil FF das Zertifikat zwar darstellt, aber man diese Darstellung leider nicht kopieren kann und das Zertifikat zwar als Quellcode abspeichern kann, diesen dann aber nicht wieder als Webseite anzeigen lassen kann, weder in FF, Chrome oder LibreOffice Writer):

    Der Vollständigkeit halber kommen hier noch 2 Bildschirmfotos des Zertifikates:

    Anscheinend wurde das Zertifikat vom Austeller selbst signiert, deswegen vertraut wohl FF der Website nicht.

    Die Haupt-Domain https://www.ingenta.com/ wird hingegen korrekt dargestellt (ist ein anderes Zertifikat), hier kommen zur Abwechslung mal 3 PDFs des Zertifikates:

    Spalte_1.pdf

    Spalte_2.pdf

    Spalte_3.pdf


    In Google Chrome ist es übrigens dasselbe Verhalten.


    Die beiden FF-Support-Seiten

    Beheben der Fehlermeldung „Gesicherte Verbindung fehlgeschlagen“ oder „Kein Verbindungsversuch unternommen“ | Hilfe zu Firefox

    sowie

    Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox habe ich auch bereits studiert – sowie außerdem diverse "Fäden" hier im Forum.

    Zu meinem Problem stärker zu passen scheint aber die FF-Support-Seite

    Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites | Hilfe zu Firefox. Denn dort wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode

    Zitat

    Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.

    Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.

    Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

    abgebildet. Allerdings passen dazu nicht ganz die darauf folgenden Erläuterungen im Kapitel

    Die Fehlermeldung tritt nur auf einer bestimmten Website auf

    mit dem Unter-Kapitel

    Zitat

    Fehlende Zwischen-Zertifikate

    Auf einer Webseite mit einem fehlenden Zwischen-Zertifikat sehen Sie folgende Fehlerbeschreibung, wenn Sie auf der Fehlerseite auf die Schaltfläche Erweitert klicken:

    Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.

    Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate.

    Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

    Das Website-Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und die Zertifikatskette zu einer vertrauenswürdigen Zertifizierungsstelle konnte ebenfalls nicht nachgewiesen werden (ein sogenanntes „Zwischen-Zertifikat” fehlt).

    Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat. Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren.

    sowie auch dem Unter-Kapitel

    Zitat

    Selbst signierte Zertifikate

    Auf einer Website mit einem selbst signierten Zertifikat sehen Sie den Fehlercode ERROR_SELF_SIGNED_CERT und – nachdem Sie auf der Seite mit der Fehlermeldung auf die Schaltfläche Erweitert geklickt haben – folgende Fehlerbeschreibung:

    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

    Selbst signierten Zertifikaten, die von keinem vertrauenswürdigen Aussteller stammen, wird standardmäßig nicht vertraut. Vom Aussteller selbst signierte Zertifikate können Ihre Daten zwar abhörsicher machen, sagen aber nichts über die Identität der Gegenseite aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen.

    Die Warnung umgehen

    Warnung: Sie sollten niemals eine Ausnahme für Zertifikate hinzufügen, die von einer größeren und bekannten Website oder von Kreditinstituten stammen – in diesem Fall liegt möglicherweise ein Kompromittierungsversuch der Verbindung durch Dritte vor.

    Falls die Website es erlaubt, können Sie die Warnung umgehen und damit die Website besuchen, obwohl dem Zertifikat standardmäßig nicht vertraut wird:

    1. Klicken Sie auf der Warnseite auf die Schaltfläche Erweitert.
    2. Klicken Sie auf Risiko akzeptieren und fortfahren.

    Aber auch in Was bedeutet „Diese Verbindung ist nicht sicher“? | Hilfe zu Firefox wird auch die bei mir erscheinende Warnung "Mögliches Sicherheitsrisiko erkannt" mitsamt der auch bei mir vorliegenden Kombination Fehlermeldung / Fehlercode

    Zitat

    Eventuell täuscht jemand die Website vor und es sollte nicht fortgefahren werden.

    Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut ecdcstage.ingenta.com nicht, weil der Aussteller des Zertifikats unbekannt ist, das Zertifikat vom Austeller selbst signiert wurde oder der Server nicht die korrekten Zwischen-Zertifikate sendet.

    Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

    abgebildet. U.a. mit dem Kapitel

    Zitat

    SEC_ERROR_UNKNOWN_ISSUER

    Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist.

    Der Server sendet möglicherweise nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden.

    und dem Kapitel

    Zitat

    ERROR_SELF_SIGNED_CERT

    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.

    Vom Aussteller selbst signierte Zertifikate machen Ihre Daten abhörsicher, sagen aber nichts über die Identität des Empfängers der Daten aus. Dies trifft oft auf Intranetseiten zu, die nicht öffentlich zugänglich sind – in diesem Fall können Sie die Warnung umgehen. Weitere Informationen erhalten Sie im Artikel Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites.

    Auf der im letzten Zitat am Ende empfohlenen Support-Seite (diese ist ja auch z.T. vorstehend zitiert) wird ja u.a. folgendes empfohlen:

    Zitat

    Fehlende Zwischen-Zertifikate

    (...)

    Sie können überprüfen, ob eine Seite richtig konfiguriert ist, indem Sie deren Adresse in ein Test-Tool wie SSL Labs eingeben. Falls als Resultat "Chain issues: Incomplete" ausgegeben wird, fehlt ein passendes Zwischen-Zertifikat.
    Kontaktieren Sie die Betreiber der Website, um sie über diesen Fehler zu informieren

    Die Überprüfung durch SSL Labs hat zunächst ergeben:

    Nach Klick auf Click here to ignore the mismatch and proceed with the tests kam dann aber folgendes:

    So ziemlich oben steht dort ja bei

    Chain issues Contains anchor

    und nicht, wie im FF-Suppurt-Artikel

    Beheben der Fehlercodes in der Meldung „Diese Verbindung ist nicht sicher” auf sicheren Websites angegeben "Chain issues: Incomplete".

    Es fehlt also wohl kein passendes Zwischen-Zertifikat, ist also entgegen dem, was meine Fehlermeldung SEC_ERROR_UNKNOWN_ISSUER suggerieren soll, sondern es scheint sich im Gegenteil um ein selbst-signiertes Zertifikat zu handeln – was vorstehend in der SSL Labs-Ausgabe auch durch

    Issuer Ingenta CA Self-signed

    untermauert wird (etwas unterhalb von "Chain issues"), und außerdem durch die Tatsache, dass Google Chrome ebenfalls eine Fehlermeldung auswirft bzw. die Seite auch blockiert!

    Aber warum lautet dann die FF-Fehlermeldung nicht ERROR_SELF_SIGNED_CERT!?


    Meine Frage an Euch lauten deswegen, wie ich weiter verfahren soll:

    – die Website vorerst nicht besuchen und zunächst den Betreiber der Website kontaktieren?

    – die Warnung umgehen und damit die Website besuchen ("Klicken Sie auf Risiko akzeptieren und fortfahren.")?

    – eventuell ein zusätzliches Stammzertifikat importieren – aber bloß wie?

    – den Zertifikatsspeicher löschen (die Datei cert9.db und evtl. auch cert8.db)?


    Vielen herzlichen Dank an Euch vorab!

    MfG,

    linux_joy


    FF-Version: 78.3.0esr (64-Bit)
    OS: LMDE 3 Cindy (64-Bit)

  • Hallo,

    hier liegt kein Firefox-Fehler vor. Weder Firefox noch Chrome noch Safari akzeptieren das Zertifikat. Der Fehlercode in Chrome ist NET::ERR_CERT_INVALID und Safari sagt: "Das Zertifikat verwendet einen beschädigten Signaturalgorithmus". Die einzige sinnvolle Lösung des Problems kann darin bestehen, dass der Betreiber der Seite ein gültiges Zertifikat verwendet.

  • Hallo @DeJaVu!

    Der Fehlercode

    Ist eindeutig und Firefox erklärt es auch noch. Ernsthaft jetzt?

    Nein, eben nicht!!! Sondern die FF-Fehlermeldungen und auch die dazugehörigen Hilfetexte sind – zumindest in diesem Fall – mehrdeutig bzw. widersprüchlich. Falls Du meinen ersten Beitrag mal richtig gelesen (und vor allem auch verstanden!!) hättest, würdest Du an meiner Aussage auch keinerlei Zweifel hegen:!::!::!:

    ;););)


    Hingegen scheint die Sache zumindest beim Safari (der sagt: "Das Zertifikat verwendet einen beschädigten Signaturalgorithmus") eindeutig(er) zu sein! Dank @Sören Hentzschel:thumbup::thumbup::thumbup:

    MfG,

    linux_joy


    FF-Version: 78.3.0esr (64-Bit)
    OS: LMDE 3 Cindy (64-Bit)

  • Der Fehlercode in Chrome ist NET::ERR_CERT_INVALID

    Chromium sagt da was anderes, wie ich bereits einfügte:

    Code
    NET::ERR_CERT_AUTHORITY_INVALID

    Die Überprüfung durch SSL Labs hat zunächst ergeben:

    Und was soll dieser Mist? Diese Information ist nicht gültig, weil du SSL-labs nicht seine Arbeit hast machen lassen durch einen Werbeblocker.

    So sieht das richtige Ergebnis aus:

    (und dauert auch ein paar Minuten)

    Warum verbreitest du Unsinn und falsche Tatsachen?

    Und ingenta.com ist nicht das Thema, sondern diese Subdomain.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Chromium sagt da was anderes, wie ich bereits einfügte:

    Chromium darf sagen, was er will, aber ich sprach von Chrome und der zeigt hier NET::ERR_CERT_INVALID an. Insofern weiß ich nicht, was das mit meiner Aussage zu tun hat, die du extra zitiertest.

    Und was soll dieser Mist? Diese Information ist nicht gültig, weil du SSL-labs nicht seine Arbeit hast machen lassen durch einen Werbeblocker.

    Bitte was? Eine Werbeblocker ändert doch nichts am Zertifikat. Ein Werbeblocker agiert auf Client-Ebene, nicht auf Server-Ebene und was du für Add-ons in deinem Browser installiert hast, ändert für einen Dienst wie SSL-Labs nicht das Geringste, schließlich wird deren Dienst doch nicht über deinen Browser ausgeführt. :/

    Warum verbreitest du Unsinn und falsche Tatsachen?

    Bitte tritt mal auf die Bremse…

  • Es wundert mich, das Chrome was anderes als Chromium anzeigt, aber nun gut, soll kein Gegenstand eines Disputs werden.

    Eine Werbeblocker ändert doch nichts am Zertifikat.

    Hat auch niemand behauptet. Nur sein Text von ssllabs ist grundlegend falsch, das passiert, wenn diese Seite blockiert wird in seinen Funktionen. Sei Zitat oben:

    Ist grundlegend falsch (mit Werbeblocker), das richtige Ergebnis (ohne Werbeblocker) habe ich als Bild hinterlegt.

    Nachtrag, das Bild ist irgendwie zu klein geraten, da kann selbst ich nichts lesen, daher nochmal als Anhang. Mist, immer noch zu klein.

    https://www.imagebanana.com/s/1926/TbpW45wO.html

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

    2 Mal editiert, zuletzt von .DeJaVu (1. November 2020 um 15:04)

  • Hallo .DeJaVu!

    (...)

    (...)

    (...)

    ............................................

    Bitte tritt mal auf die Bremse…

    Dieser verklausulierten Aufforderung kann ich vollumfänglich zustimmen:!::!::!:

    Und überhaupt, wenn ich hier so Deine geistigen Ergüsse ertragen muss...:thumbdown::rolleyes:<X:thumbdown::rolleyes:<X:thumbdown::rolleyes:<X

    Da liegen wohl Welten – zumindest zwischen Dir und Sören Hentzschel...

    Wie war das nochmal mit der Merkbefreitheit... Aber lassen wir diesen Aspekt lieber "links liegen" und widmen uns dem Sachlichen:

    1) Werbeblocker: Nun ja, wie Du in meinem Beitrag #1 hättest sehen können – was ja eigentlich nicht so schwierig sein dürfte – habe ich dort unmittelbar unter der 1. SSL-Labs-Meldung geschrieben:

    "

    Nach Klick auf Click here to ignore the mismatch and proceed with the tests kam dann aber folgendes:

    "

    Und der direkt darunter befindliche "Zitat"-Block entspricht vom Ergebnis her Deinem angehängtem Bildschirmfoto...;););) Ist vllt. nicht ganz so übersichtlich, aber man kann den Ergebnis-Text eben direkt zitieren.

    2) Und von der Subdomain – bzw. genauer "Webseite" – https://ecdcstage.ingenta.com/…7917.ES.2020.25.5.2000080 habe ich ganz oben auch geschrieben...||||||

    [tt]https://www.imagebanana.com/s/1926/TbpW45wO.html[/tt]

    Ahhh, dann geht hier im Forum also grundsätzlich doch BBCode... Oder ist das etwa gar keiner:?::?::?:

    .DeJaVu, hast Du denn das extra so gemacht, dass der Link nicht direkt anklickbar ist (etwa, um mich / uns zu ärgern und / oder um mit Deinen Code-Kenntnissen glänzen zu können), oder war das schlichtweg Unkenntnis? Denn ohne den Extra-Code ist er direkt anklickbar:

    https://www.imagebanana.com/s/1926/TbpW45wO.html

    MfG,

    linux_joy


    FF-Version: 78.3.0esr (64-Bit)
    OS: LMDE 3 Cindy (64-Bit)

  • https://www.imagebanana.com/s/1926/TbpW45wO.html

    Ahhh, dann geht hier im Forum also grundsätzlich doch BBCode... Oder ist das etwa gar keiner :?::?: :?:

    In deinem anderen Thema war vom [img]-BBCode die Rede, nicht von [tt]. Dass die Software grundsätzlich das Konzept von BBCodes kennt, ist eh klar, ansonsten hätte die von dir in deinem anderen Thema gezeigte Fehlermeldung ja keinen Sinn ergeben, denn würde die Software das Konzept von BBCodes überhaupt nicht kennen, könnte der Begriff nicht Teil der Fehlermeldung sein.

    und widmen uns dem Sachlichen

    Das wäre mir auch sehr Recht. Es hat aber immer einen Beigeschmack, wenn man sowas sagt, vorher aber selbst nochmal nachtritt. So nehmt ihr euch beide nichts und damit sind mir die Hände gebunden, irgendjemanden von euch vor einem unguten Umgang miteinander zu schützen.