FF 6.0.2: DigiNotar-Zertifikate sind wieder drin

    Hallo zusammen

    Vorhin habe ich Firefox auf 6.0.2 aktualisiert und gleich in den Zertifikaten nachgeschaut. DigiNotar ist wieder enthalten, obwohl nach Heise noch mehr gefälschte Zertifikate entdeckt wurden:
    http://www.heise.de/security/meldu…et-1336603.html

    Oder hängt das mit der zweiten, neuen Meldung zusammen?
    http://www.heise.de/security/meldu…ar-1337236.html

    Zitat daraus:
    "Neuen Erkenntnissen zufolge hatten die Eindringlinge offenbar doch Zugriff auf PKIoverheid. Ob die Angreifer dies aber wirklich zur Ausstellung von Zertifikaten ausgenutzt haben, ist derzeit unklar.

    Bislang wurde das PKIoverheid-Stammzertifikat jedoch noch nicht zurückgezogen, weil dies sonst zu Ausfällen bei der Kommunikation von Computersystemen führen können, die auf verschlüsselte Verbindungen angewiesen sind."

    Bruno

    [Blockierte Grafik: http://www.img-teufel.de/uploads/DigiNotare00d6246jpg.jpg]

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Abends.

    Hmm.
    Wie bitte hast Du das Update ausgeführt?
    6.0.1 -> 6.0.2?
    Selbst über ein "manuelles" - im Gegensatz zum "automatischen" Sicherheitsupdate,welches diese Zertifikate geblockt hat,wird mir hier kein 6.0.2 angeboten.
    :-??
    Insgesamt ein recht unerfreuliches Thema,wie ich finde.
    Das aber könnte 'ne andere Baustelle sein,nämlich die Vergabe von Zertifikaten an nicht ganz so sichere Institutionen.
    Und die internationale (gültige) Behandlung derselben.
    Bleibt meine Eingangsfrage.
    Qui bono?
    :wink:
    Gruß

    P.

    Zitat von bigpen

    Vorhin habe ich Firefox auf 6.0.2 aktualisiert und gleich in den Zertifikaten nachgeschaut. DigiNotar ist wieder enthalten, obwohl nach Heise noch mehr gefälschte Zertifikate entdeckt wurden:


    Sollte seit 6.0.1 eigentlich gegessen sein. Zumindest in finalen Versionen. Hattest Du aus einer Beta auf die final upgedatet?

    Hier sind in den finalen Versionen die Zertifikate nicht wieder aufgetaucht. Im Gegensatz zu den Betas, da erschienen sie wieder nach Update auf 7b4.

    Wollte mich mal Bekannten für diesen total verhauen Patch der das Löschen von Zertifikaten verhindert. Ich vertraue nur sehr wenige aber zur Zeit kann man überhaupt gar keine mehr Löschen!
    Echt Tolle Leistung mal wieder seitens Mozilla.

    Back To The Roots

    Morgen zusammen!

    An PvW und Heaven_69:
    Die 6.0.2 habe ich von hier: ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/

    Ich mache keine Updates, sondern lade die neuen Versionen von http://www.mozilla.org/de/firefox/
    Weil hier immer noch die 6.0.1 ist, machte ich eine Ausnahme und ging zum ftp.

    Soll ich die DigiNotar-Zertifikate von Hand löschen?

    Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Wenn ich den von mir verlinkten Beitrag richtig verstehe, sind die Zertifikate wieder drin, aber einzeln als gültig oder ungültig markiert.
    Zitat:
    The protections will be a bit stronger than in 6.0.1.

    Zitat

    Soll ich die DigiNotar-Zertifikate von Hand löschen?


    Zitat:
    ... deleting the cert yourself is supposedly not as safe as keeping it there in its revoked status.
    Also, laut Mozilla: Nein.

    Ich habe sie gelöscht, den Firefox neu gestartet und sie sind wieder drin. Sie sind auf keine Art markiert.

    Edit:
    Inzwischen bin ich wieder zur 6.0.1 zurückgekehrt und habe ein 2 Tage altes Backup-Profil zurückkopiert. Jetzt ist alles DigiNotar wieder weg.

    Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Hier sind nun im 6.0.2 mehr drin wie vorher im 6.0er. Da mußte ich nur einem das Vertrauen entzogen.

    [Blockierte Grafik: http://s7.directupload.net/images/110907/temp/p6lqfses.jpg]

    Und wenn ich Palli bzw. Mozilla glauben darf einige Postings hier drüber sollten sie nicht entfernt werden. Wissen tue ich es aber nicht und bin deshalb ebenso auf eine Antwort gespannt.

    [edit]

    Finde gerade diesen Beitrag von heise wo gesagt wird das die Zertifikate in Firefox 6.0.2 nicht mehr drin sein dürften.

    Zitat

    Mozilla musste nach dem DigiNotar-Hack bereits zum zweiten Mal einschreiten und hat erneut Updates herausgebracht, die nach dem DigiNotar-Stammzertifikat nun auch die CA Staat der Nederlanden aus der Liste der vertrauenswürdigen Herausgeber entfernen.

    http://www.heise.de/newsticker/mel…us-1338162.html

    Aber sie sind ja nun drin. Ich werde ihnen das Vertrauen entziehen. Wenns falsch ist bügel ich den Fux einfach noch mal drüber.

    Geht garnicht und damit bin ich wieder am Anfang. Sie lassen sich nicht löschen sondern sind nach einem Neustart wieder drin. Ich hab nun keine Ahnung mehr was ich tun soll.

    [/]

    In der "offiziellen" v.6.0.2 von http://www.mozilla.org/de/firefox/ sind sie auch wieder drin, unlöschbar...

    Der einzige Unterschied zu anderen Zertifikaten ist, dass sie nicht verifizierbar sind, was immer das hier genau bedeuten soll:

    [Blockierte Grafik: http://www.img-teufel.de/uploads/AnsichtDigiNotar445c79d3jpg.jpg]

    Hier ein willkürlich herausgegriffenes Zertifikat von Verisign, als Vergleich:

    [Blockierte Grafik: http://www.img-teufel.de/uploads/AnsichtVerisign1569b93cjpg.jpg]

    Bedeutet diese "nicht-Verifizierbarkeit" auch eine Sperrung für DigiNotar?
    Welche Datei im Profil enthält die Zertifikatsliste?

    Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    UpDate: In allen anderen Versionen waren die Zertifikate zu finden, die ich aber ohne Probleme gelöscht habe. Mal sehen, ob ich in den nächsten Tagen dadurch Probleme auf irgendwelchen Webseiten bekomme. @ PvW: Wenn ich die Texte richtig verstanden habe, soll wohl ein Firefox-UpDate die Geschichte beseitigen!? Technisches Englisch ist nicht so meins...

    Abends!

    Auch mein Steckenpferd ist nicht gerade das Hitech-Englisch- bin außer Übung.
    ;)
    Zumal es sich hier um eine ziemlich komplexe Frage handelt,nämlich die,ob das System der Vergabe von Zertifikaten
    in sich nicht - nach den "Vorfällen" der letzten Zeit - insgesamt fragwürdig erscheint.
    Derzeit interpretiere ich das Verhalten seitens Mozilla so:
    Zertifikaten werde zwar gelistet,wie von bigpen plakativ beschrieben,aber "intern" als nicht vertrauenswürdig eingestuft und man ist heftig dabei,Hintergründe herauszufinden.
    Wie man überhaupt auf derlei Vorfälle dieser Größenordnung (!) reagieren kann, ist ein andere Frage.

    Was aber hat es mit den Zertifikaten auf sich?
    Gedacht war das System wohl eigentlich dafür,selbst im Browser zu signalisieren,man/frau hätte es tatsächlich mit einer
    "vertrauenswürdigen" Seite zu tun.
    Dieses Vergabesystem aber scheint,nicht zum ersten Mal nebenbei,doch ziemliche Tücken/Lücken aufzuweisen.
    Und ist bestimmt diskussionswürdig,lesenwert wirklich das Attachment im oben erwähnten Bugreport,das ist eine recht trockene Zusammenstellung der Ereignisse.

    Gruß
    P.

    Ich habe den Mozilla-Artikel (http://blog.gerv.net/2011/09/diginotar-compromise/) von Google übersetzen lassen und auch dann zu einem grossen Teil nur Bahnhof verstanden...

    Deshalb nochmals meine Bitte:
    Hat jemand von euch eine Ahnung in welcher Datei die Zertifikate gespeichert sind? Dann könnte ich eine, ein paar Tage ältere Version dieser Datei ohne DigiNotar, ins FF-Profil kopieren.

    Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Keine Panik, alles weg aus Firefox 6.0.2, aktuellem Chrome und gestern gepatchtem IE!

    Ich platziere hier eine Direktlink zu einer *.pdf-Datei, in der vom Hack kompromittierten Webseiten aufgelistet sind. Die Webseiten sind anklickbar. Entweder

      *ihr kriegt eine Sicherheitswarnung
      *der Server ist vom Netz genommen
      *ihr kriegt Zugang zur Webseite, dann könnt Ihr das Zertifikat überprüfen, es wird ein andere Herausgeber sein.

    http://privacynieuws.nl/images/stories…_gebruikers.pdf

    edit: Opera 11.51 und Safari 5.1 versagen
    https://balie.culemborg.nl/

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

    2 Mal editiert, zuletzt von Amsterdammer (7. September 2011 um 23:31)