Auto-Update von CRLs

    Kann es sein, dass das Auto-Update von CRLs im Firefox nicht funktioniert?

    Zu meiner Situation:
    Unter Extras – Einstellungen – Erweitert – Verschlüsselung – Revocation-Listen kann ich die besagten CRLs importieren. Bei einer importierten CRL kann ich ebenfalls unter Einstellungen das besagte Auto-Update aktivieren.
    Um die Funktion zu testen habe ich mir drei CRLs von Verisign (http://crl.verisign.com) heruntergeladen, die täglich aktualisiert werden. Und obwohl ich seit dem täglich längere Zeit online bin wird nichts aktualisiert.

    Liegt es an Verisign? – Kann ich mir eigentlich nicht vorstellen, da Verisign erstens sein Geld mit Zertifikaten und somit auch mit CRLs verdient und zweitens wüsste ich nicht, an welcher Stelle dort der Fehler liegen sollte…

    Oder liegt es am Firefox? – Bei Seamonkey und Netscape habe ich allerdings das gleiche Problem. Bei IE (Version 6) kann man das nicht erkenne, da dort (meines Wissens nach) nicht das CRL-Datum angezeigt wird.

    Ich bin dankbar für jegliche Antwort und sei es nur für den Link zu einem potentiell besser geeigneten Forum.

    Gruss domi

    Hallo,

    da mir leider keiner helfen konnte werde ich was anderes probieren müssen- Ich habe vor einen Blick in den Source-Code vom Firefox zu werfen. Leider ist das Neuland für mich.

    Deshalb wäre ich dankbar für Hinweise, wo ich im Source-Code bzgl. des Auto-Updates von CRLs fündig werden könnte.

    Oder vielleicht weiß jemand, wo die CRLs gespeichert werden nachdem sie vom Browser importiert wurden. Irgendwo müssen die doch liegen. Leider habe ich sie bislang nicht gefunden.
    Ich habe die Vermutung, dass sie sich unter
    ./.mozilla/firefox/evc3to3e.default/cert8.db (Debian, sollte aber auch für ein anderes Linux gelten) bzw. C:\Dokumente und Einstellungen\usr\Anwendungsdaten\Mozilla\Firefox\Profiles\urc1p1xu.default\cert8.db (Windows XP Professional) verstecken.
    Die Werte vor dem default warden wahrscheinlich bei euch abweichen.
    Leider enthält die Datenbank nur Hex-Werte. Ich hätte gerne Informationen, wie z.B. enthaltene Zertifikate und Ausstellungsdatum etc. Weiß jemand Rat?

    Ich bin dankbar für jeden kleinen Hinweis.

    Gruss domi

    Hi Domi,

    schau mal hier :

    http://www.mozilla.org/projects/security/pki/nss/

    http://www.mozilla.org/projects/secur…s/certutil.html

    http://www.mozilla.org/projects/security/pki/nss/tools/

    und über http://www.mozilla.org findest du noch hunderte von Links mehr dazu.

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 132 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    domi fragte:

    Zitat

    Kann es sein, dass das Auto-Update von CRLs im Firefox nicht funktioniert?

    Stichwort: Root- und Zwischen- Zertifikate.
    Du hattest bezüglich dieses Themas bereits hier und in anderen Foren eingefragt und keine Antwort erhalten, da Dein Anliegen bezüglich der Internet-Sicherheit von Browser-Anfragen nicht mehr ganz aktuell ist - oder andersherum ausgedrückt - Du Dich auf ein solches, bereits fortgeschrittenes OCSP ( Online Certificate Status Protocol ) nicht immer verlassen kannst, da eben dieses auch auf u.U manipulierbare CRL-Sperrlisten aufsetzt - bzw. von diesen z.T. sogar abhängig ist - und genau darum geht es hier.


    a. Was bringt Dir eine upgedatete Revocation-Liste (X.509 v2 CRL) im Browser? Soll Dir die Maschine bezüglich Deiner angewählten Webseiten vielleicht den gesunden Menschenverstand abnehmen? Wäre statt einer ständig kurzfristig aktualisierten Blacklist (Sperrliste) nicht eine, in längeren Intervallen pflegbare Whitelist sinnvoller?

    b. Firefox installiert solche Datenbanken (CRL´s) nicht automatisch. Ein angemessener Update-Time Slot solcher aktuellen CRL-Sperrlisten gilt meiner Erfahrung nach für mindestens alle 30 Sekunden - und das ist doch eigentlich verrückt.

    c. Wer pflegt solche Listen zu welchem Zweck und woher genau kommen sie - sind sie vielleicht sogar kompromittierbar? Einige (e)-sTrust-Organisationen kochen da ihre eigene Suppe. Der FF ist Open-Source, doch bezüglich der Validierung solcher angeblich geschützten Webseiten ist er meiner Ansicht nach, teilweise von solchen Profit-Organisationen, zu sehr abhängig.

    d. Bei den für Dich vertrauenswürdigen Webseiten (Online-Banking / Web-Shops etc.), gäbe es andere Möglichkeiten bezüglich der Validierung von vertrauenswürdigen Zugängen. (z.B. Direkteingabe der IP-Adresse / DNS-Inquiry-Bypass / Root-PW-Check etc.).

    Auch wenn dieser Beitrag nicht unbedingt auf Dein Anliegen hin ausgerichtet ist, gilt dennoch:


    http://de.wikipedia.org/wiki/Online_Ce…Status_Protocol
    http://www.verisign.com/products/wirel…iers.html#valid
    http://searchsecurity.techtarget.com/sDefinition/0,…i784421,00.html


    Oliver

    Hallo,

    danke für eure Antworten.

    Angel:
    Die Seiten waren soweit ganz nützlich. Ich hatte vorher schon eine Menge andere Seiten gefunden, aber diese speziellen waren nicht dabei. Das ist wohl die Geschichte mit dem Wald und den Bäumen... Für mich interessant ist die Seite:
    http://www.mozilla.org/projects/secur…ls/crlutil.html
    Unten auf der Seite das Beispiel crlutil -L -d certdir ist ganz nett, da es die CRLs aus meinem Speicher auflistet. Das habe ich auch hinbekommen; leider scheitere ich bei dem Befehl crlutil -L -d certdir -n nickname, der mir auch Details ausgeben würde. Da ich die CRLs importiere und nicht selbst erstelle kann ich ihnen ja keine nicknames geben und den CommonName anstelle des nickname einzugeben klappt bei mir nicht. Hast du mit dem tool eventuell Erfahrung?

    oliver:
    Ja, ich habe meine Fragen an verschiedenen Stellen gestellt. Aber das erschien mir legitim, da ich ja keine Antworten erhalten habe. Ich hoffe, dass sich niemand belästigt fühlt, der sich wie ich in mehreren Foren herumtreibt.
    Leider Gottes muss ich für die Uni CRLs und die Browserreaktion auf diese untersuchen. OCSP und Konsorten sind mir aber auch bekannt ;) Deine Kritik an CRLs bzw. Vorschläge wie die Whitelist lese ich aber trotzdem immer gerne, da auch sie mich weiter bringen und des öfteren auch Punkte dabei sind, die ich so noch nicht bedacht habe.
    CRLs sollten ebenso wie die Zertifikate von der CA signiert sein, so dass ich erstmal von ihrer Sicherheit ausgehe. Deshalb will ich auf den Punkt der Sicherheit hier nicht weiter eingehen. Sofern Interesse an einer gepflegten Konversation diesbezüglich besteht, bin ich aber natürlich zu haben =)

    Zu meinem Hauptanliegen, dem Firefox (und anderen Browsern): Ja, der Firefox installiert die CRLs nicht automatisch und damit habe ich mich abgefunden. Aber es ist ohne Probleme möglich diese zu importieren und ein automatisches Update einzustellen. Doch leider funktioniert (bei mir) das automatische Update nicht korrekt und ich habe noch keine Informationen erhalten, die mich davon abringen zu glauben, dass es sich hierbei um einen Bug handelt.
    Das dieser Bug eventuell für einen Großteil der Nutzer nicht relevan ist, ist für mich dabei nicht wichtig.

    Für Antworten bin ich wie immer dankbar.

    Gruss domi