"Eigene" Zertifikate und Firefox 3

  • Manchmal verwendet man Zertifikate nicht zur Authentifizierung eines Herausgebers, sondern nur, damit die verschlüsselte Kommunikation per HTTPS funktioniert. Es ist also nicht so ungewöhnlich, dass man für eine Seite ein Zertifikat ausstellt, ohne dass man dafür jährlich eine dreistellige Summe an einen "Trusted Vendor" abdrücken will.

    Wenn ich nun eine selbst signierte Seite aufrufe, z. B. https://opensvn.csie.org/traccgi/historypp, dann erscheint im Firefox 2 folgende sehr sinnvolle Meldung:
    [Blockierte Grafik: http://img134.imageshack.us/img134/5426/ffzert1sm3.jpg]
    Es wird mit mitgeteilt, dass die Vertrauenswürdigkeit des Zertifikates nicht bestätigt werden kann und ich kann entscheiden, wie verfahren werden soll. Mit nur einem Klick kann ich mir das beanstandete Zertifikat ansehen, ebenfalls mit nur einem Klick kann ich die Seite trotzdem laden, ohne gleich das Zertifikat permanent akzeptieren zu müssen.

    Firefox 3 meint, das Problem für mich und ohne jede Nachfrage entscheiden zu müssen und knallt mir folgende Meldung hin:
    [Blockierte Grafik: http://img503.imageshack.us/img503/609/ffzert2eb1.jpg]

    Ich muss zugeben, dass ich deswegen gerade ziemlich angefressen bin. Ich hasse nichts so sehr wie Software, die für mich denken will, mir keine Eingriffsmöglichkeit lässt und sich dann auch noch falsch entscheidet. Ob ich einem nicht verifizierbaren Zertifikat vertraue oder nicht, möchte ich gefälligst selbst und unkompliziert festlegen können. Wenn ich browser.xul.error_pages.enabled auf true setze, was ich eigentlich nicht möchte, weil diese Fehlerseiten in den meisten Fällen Zeitverschwendung sind, dann habe ich zwar die Möglichkeit, eine Ausnahme hinzuzufügen, aber auch das erst nach einer völlig sinnlosen, nervigen Klick-Orgie.

    Kennt jemand eine Möglichkeit, den alten Dialog wieder herzustellen? Oder geht es vielleicht noch irgendwie anders, ein unbekanntes Zertifikat mit einem Klick temporär(!) zu akzeptieren? Ich möchte nicht die Warnung an sich umgehen, aber ich hasse es, fünfmal gefragt zu werden und wie ein kleines Kind behandelt zu werden.

  • Bei mir erscheint "Secure Connection Failed" mit Link "Or you can add an exception…" kann dann klicken ob ich das Zertifikat hinzu fügen will oder verlassen.
    FF3 fragt ob das Zertifikat permanent oder nur temporär gespeichert werden soll.
    Die Seite lässt sich ohne Probleme öffnen mit 3.0RC1 ohne Alert.

    Ist möglich das FF Windows Version anders bei Zertifikaten reagiert als die Linux Version?

  • Zitat von Minotauros

    Man kann den Vorgang um zwei Klicks verkürzen, dazu "browser.xul.error_pages.expert_bad_cert" auf "true" und "browser.ssl_override_behavior" auf 2 setzen (siehe Bug 427293).

    Danke für diesen wichtigen Hinweis, nun gefällt es mir schon um einiges besser als vorher. Eine Möglichkeit, den Dialog Add Security Exception bei Unstimmigkeiten direkt, also ohne diese zusätzliche Fehlerseite einzublenden, gibt es wohl nicht, oder?

    Ich finde, diese Einstellung sollte nicht so versteckt werden. In about:config hatte ich schon nachgesehen, aber keinen logischen Wert zum Ändern gefunden. Dass man einen numerischen und wenig sagenden Wert ändern muss, darauf kommt man doch nicht! Dabei bin ich mir relativ sicher, dass das derzeitige Verhalten noch einige User auf die Palme bringen wird. Vor allem solche, die wie ich die XUL-Errorpages deaktiviert haben und in diesem Fall bei der Zertifikatprüfung mit einer lapidaren meldung im Regen stehengelassen werden.

    Zitat von Maxtech

    Bei mir erscheint "Secure Connection Failed" mit Link "Or you can add an exception…" kann dann klicken ob ich das Zertifikat hinzu fügen will oder verlassen.

    Zitat von Palli

    Bei mir auch:
    Bei Einstellungen, Erweitert, Verschlüsselungen, Validierung
    gibt es unten das Feld
    Wenn fehlschlägt blablabla.
    Kann das damit zu tun haben?

    Es liegt wohl daran, dass ich wie oben erwähnt die XUL-Errorseiten normalerweise deaktiviert habe. Wenn eine Seite einen Timeout produziert, dann wird bei mir nicht der unsinnige ganzseitige Hinweis geladen, dass die Seite nicht erreichbar ist, sondern ich erhielt bisher nur eine Alert-Box. Das Problem ist nun, dass es für die XUL-Seite bei unstimmigen Zertifikaten offenbar kein Hinweisbox-Äquivalent gibt. Ich werde dazu wohl einen Bugzilla-Eintrag eröffnen.

  • Zitat von Minotauros

    Man kann den Vorgang um zwei Klicks verkürzen, dazu "browser.xul.error_pages.expert_bad_cert" auf "true" und "browser.ssl_override_behavior" auf 2 setzen (siehe Bug 427293).

    Das hat bei mir keinen Effekt (Windows XP SP2). Es kommt nach wie vor eine Fehlerseite ohne die Möglichkeit, eine Ausnahme hinzuzufügen:

    Wie bekomme ich es hin, dass mir wenigstens die Möglichkeit angezeigt wird, eine (temporäre) Ausnahme hinzuzufügen? Das Ganze ist ja so schon nervig genug.

    Herzlichen Dank für jegliche Hilfe und Tipps,
    Yosanda

  • Hallo Leute,

    der Thread ist älter und wahrscheinlich ist gar nicht mehr aktuell, trotzdem poste ich mal meine Lösung rein. Hatte das gleiche Problem und war davon ebenfalls reichlich entnervt.

    Man kann in den Einstellungen unter "Erweitert"->"Verschlüsselung"->"Zertifikate anzeigen" eine eigene Ausnahme erstellen. Einfach auf "Ausnahmen hinzufügen" klicken, die URL angeben und das entsprechende Zertifikat herunterladen.