FF 6.0.2: DigiNotar-Zertifikate sind wieder drin
-
bigpen -
5. September 2011 um 20:40 -
Erledigt
-
-
Mir ist aufgefallen, dass die markierte Einstellung bei mir deaktiviert war. Könnt ihr bitte mal bei euch nachsehen, ob diese die Standardeinstellung ist?
[Blockierte Grafik: http://img7.imagebanana.com/img/yst9lpvg/thumb/ZertifikatValidierung_016.png]
Falls es die Standardeinstellung seien sollte finde ich diese schlecht, da ein gefälschtes Zertifikat (oder die von ihm gefälschte Website) dann nur den Zugang zum OCSP-Server unterbinden muss um gültig zu bleiben.
Die obere Einstellung:
ZitatEin Zertifikat validieren, wenn es einen OCSP Server angibt
habe ich belassen. Allerdings stellt sich mir die Frage, was ist wenn ein Zertifikat keinen OSCP Server angibt? Ist dies auch eine Möglichkeit, dass Zertifikate "ewig" gültig bleiben können?
Gegen die Option
ZitatAlle Zertifikate mittels des folgenden OCSP-Serves validieren
spricht für mich, dass ich nicht weiß welchen ich da auswählen sollte, da falls gerade dieser OCSP-Server kompromiert ist die ganze Sicherheitsabfrage über OCSP-Server gefälscht werden kann.
-
Moin.
Zitat von Amsterdammeredit: Opera 11.51 und Safari 5.1 versagen
https://balie.culemborg.nl/
Hmm.
Auch im Fx war die Seite ohne Warnung zu erreichen.
Die genannte Adresse habe ich dann in der cert_override.txt gefunden,mit dem Parameter "U".
Kann das wer nachvollziehen?
Nach Löschung daraus und Neuaufruf kam der gelbe Cop.
Zu dieser Seite:
Wäre es denkbar,sie wäre geprüft und als unverdächtig eingestuft worden?Ich bin mir reichlich sicher,den Eintrag dort nicht selbst hineinpraktiziert zu haben.
[Edith]Mittlerweile doch nicht mehr so sicher-könnte ein Test am Mittwoch gewesen sein.[/Edith]
Gruß
P. -
Zitat von Fury
Mir ist aufgefallen, dass die markierte Einstellung bei mir deaktiviert war. Könnt ihr bitte mal bei euch nachsehen, ob diese die Standardeinstellung ist?
So sieht das bei mir ohne Veränderung aus[Blockierte Grafik: http://www.bilderload.com/thumb/139064/a1V8N9N.jpg]
-
Zitat von Amsterdammer
edit: Opera 11.51 und Safari 5.1 versagen
https://balie.culemborg.nl/Zitat von PvWAuch im Fx war die Seite ohne Warnung zu erreichen.
Sieht bei mir so aus:[Blockierte Grafik: http://www.bilderload.com/thumb/139066/a3CZRYK.jpg]
-
Hier ebenfalls.
-
Hier dito in 9 Nightly und allen anderen verwendeten Versionen.
-
Dankeschön für's Testen.
Siehe [Edith] oben.
Gruß
P. -
-
Juhee!
-
Die DigiNotar Certifikatsstellen sind doch immer noch im aktuellen FF drin.
Warum löscht Mozilla die nicht endlich aus der Liste komplett heraus ?
Manuell löschen bringt auch nichts da sie nach einem Neustart sofort wieder da sind. -
Wie sieht es bei euch aus?
[Blockierte Grafik: http://www.bilderload.com/thumb/144239/diginotar0VWXI.jpg]
-
-
Zitat von Fox2Fox
Wie sieht es bei euch aus?
[Blockierte Grafik: http://www.bilderload.com/thumb/144239/diginotar0VWXI.jpg]
Dito genau der selbe Scheiß. Warum hat Mozilla die wieder reingenommen ? Ich find das bei weitem nicht in Ordung.
Gibt es eigentlich noch Seiten die ehemals von DigiNotar ausgestellt wurden und an denen man die " herausgenommene" Berechtigung testen kann?@ Furry
du hast doch die Ubuntu Variante somit eine leicht abgänderte Reposition. Schau mal im Ubuntuforum da gibt es eine Möglichkleit die Zertifikate komplett zu entfernen
Nachtrag:
im übrigen lässt sich die Seite " https://balie.culemborg.nl/ " ohne Probleme mit dem FF 7.0 erreichen.
Wenn ich hier richig gelesen habe . sollte die doch mit einer Warnung erscheinen???? -
Du hast ganz sicher nicht den von mir verlinkten Beitrag und den beinhaltenden Link gelesen.
-
Zitat von FuryAlles anzeigen
Mir ist aufgefallen, dass die markierte Einstellung bei mir deaktiviert war. Könnt ihr bitte mal bei euch nachsehen, ob diese die Standardeinstellung ist?
[Blockierte Grafik: http://img7.imagebanana.com/img/yst9lpvg/thumb/ZertifikatValidierung_016.png]
Falls es die Standardeinstellung seien sollte finde ich diese schlecht, da ein gefälschtes Zertifikat (oder die von ihm gefälschte Website) dann nur den Zugang zum OCSP-Server unterbinden muss um gültig zu bleiben.
Die obere Einstellung:
habe ich belassen. Allerdings stellt sich mir die Frage, was ist wenn ein Zertifikat keinen OSCP Server angibt? Ist dies auch eine Möglichkeit, dass Zertifikate "ewig" gültig bleiben können?
Gegen die Option
spricht für mich, dass ich nicht weiß welchen ich da auswählen sollte, da falls gerade dieser OCSP-Server kompromiert ist die ganze Sicherheitsabfrage über OCSP-Server gefälscht werden kann.
diesen ?
Doch sicher, aber wo hilft mir das weiter?
-
Nein, den habe ich nie verlinkt
-
gib mir doch bitte mal den , den du meinst
...oder meinst den von Heise ? der sagt doch überhaupt nichts konkretes aus.
