Neue Firefox SSL Warnung deaktivieren

veers · Samstag 28. Juni 2008, 15:41

Hi ihr,

Die neue SSL Warnung von Firefox nervt mich ziemlich

Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung brauche ich jeweils 5 Klicks um eine Seite mit einem Self-Signed Zertifikat zu besuchen. Gibt es einen Weg diese zu umgehen?
Am liebsten wäre es mir wenn einfach das Icon in der Addressbar Rot oder Orange wird. Aber auch der alte Dialog wäre ok.

Gruss,
Jonas

PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?

nemomuk · Samstag 28. Juni 2008, 16:04

Wir reden vom 3er?

Ich finde es im neuen Firefox sogar viel, viel besser... Im alten musste man immer klicken bis die ganzen Sicherheitswarnungen weg waren...

Im 3er kommt (bei mir zumindest) immer eine Seite, dann kann ich unten eine Ausnahme hinzufügen und das Zertifikat wird jedes mal ohne irgendeine Nachfrage akzeptiert...

veers · Samstag 28. Juni 2008, 17:40

Zertifikate permanent speichern konnte man doch auch schon vorher

lunar · Samstag 28. Juni 2008, 17:56

veers hat geschrieben:Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP Verbindung

Vielleicht, weil das nun mal so ist?

Verschlüsselung ist nur ein Teil von SSL, ebenso wichtig ist die Authentifizierung des Servers. Die Daten unverschlüsselter Seiten sind hoffentlich so unwichtig, dass es nichts ausmacht, wenn die Seite gefälscht ist. Bei einer SSL-verschlüsselten Seite ist Spoofing oder Pishing dagegen meistens mit mehr oder weniger schlimmen Folgen verbunden.

PS: Bin ich eigentlich der einzige der das nicht so "Super Toll und viel sicherer" findet?

Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.

Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.

mitsuhiko · Samstag 28. Juni 2008, 18:01

Ich find die Warnung spitze. Jetzt merken Leute erstmal wenn ihre Zertifikate auslaufen. Also brav zu ca-cert laufen und zertifizieren, und das ca-cert Root-Zertifikat aufnehmen.

Und vielleicht köntne ca-cert mal wieder einen Antrag stellen, dass das schon von Haus aus passiert.

lunar · Samstag 28. Juni 2008, 18:06

Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.

birkenfeld · Samstag 28. Juni 2008, 18:51

lunar hat geschrieben: Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.

Ich sehe da keine Option für...

lunar · Samstag 28. Juni 2008, 19:03

In der Tat... ich dachte, "Eine Sicherheitswarnung anzeigen, wenn eine nur schwach verschlüsselte Seite angezeigt werden soll" wär's gewesen

lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...

Leonidas · Samstag 28. Juni 2008, 19:22

lunar hat geschrieben:lunar, der sich gerade fragt, wofür diese Einstellung dann da ist ...

Ich schätze mal, dass das aus den Zeiten ist, wo es cryptography restrictions in den USA gab, siehe 56-Bit SSL.

sma · Sonntag 29. Juni 2008, 07:57

veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich :twisted: Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP

Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit. Damit ist es gut, dass FF hier meckert. Jeder kann sich dieses Zertifikat selbst bauen und der Anwender weiß nicht, mit wem er eigentlich eine Verbindung aufgebaut hat. Das diese dann verschlüsselt ist, ist egal. Es könnte ja der "man in the middle" sein, der gerade eigentlich nicht die Daten mitlesen sollte.

Stefan

lunar · Sonntag 29. Juni 2008, 09:42

sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.

So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.

veers · Sonntag 29. Juni 2008, 11:49

sma hat geschrieben:
veers hat geschrieben:Die neue SSL Warnung von Firefox nervt mich ziemlich Mal abgesehen davon das sei den Eindruck erweckt das eine nicht verifizierte SSL-Verbindung weniger sicher ist als eine normale HTTP
Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.

Kein Sichetheit stimmt so nicht. Es schützt selbst ohne signiertes Zertifikat gegen passive Angriffe.

Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?

Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.

Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.

Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.

lunar hat geschrieben:Wenn dich die Warnung stört, dann musst du sie halt unter Sicherheit -> Warnungen deaktivieren.

Genau dass das nicht möglich ist stört mich

Für mich Persönlich wäre auch ein Config Key genug.

lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.

lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.

Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.

lunar · Sonntag 29. Juni 2008, 12:06

veers hat geschrieben:
Lunar hat geschrieben:Vielleicht, weil das nun mal so ist?
Dann erzähl mir mal welche zusätzlichen Attacken auf eine nicht authentifizierte verschlüsselte Verbindung möglich sind - aber nicht auf eine Plaintext Verbindung möglich sind.

[ ] Du hast mein Posting gelesen

Ich habe nicht gesagt, es wären andere Angriffe möglich, ich habe gesagt, die Auswirkungen eines Angriffs auf SSL-Verbindungen wären gravierender als die eines Angriffs auf eine HTTP-Verbindung, weil SSL-Verbindungen in der Regel sensible Daten schützen.

Anders gesagt: Ich gehe nicht daran unter, wenn mein Python-Forum-Passwort gepisht wird, aber es wäre ziemlich beschissen für mich, wenn man meine Bankdaten oder meinen Amazonaccount brechen würde.

Lunar hat geschrieben:Möglich ... ich persönlich finde diese Warnung gut. Sie verlangt explizit, eine _Ausnahme_ für eine unsichere Seite hinzuzufügen. Der alte Warndialog wurde ja immer nur einfach weggeklickt.

Dann müsstest du ja für jede HTTP Seite eine vergleichbare Warnung anzeigen.[/quote]
So? Und warum glaubst du dann, erscheint die Adressleiste bei FF gelb, wenn die Seite verschlüsselt ist?

Warum eine richtige Warnung da unsinnig ist, aber ich dir jetzt schon zweimal versucht zu erklären.

lunar hat geschrieben:So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.
Ja, das ist mal das eine. Aber in vielen fällen ist es mir relativ egal wenn da ein Angreifer mit hört. Ich will bloss eine Seite aufrufen und Informationen von dieser beziehen.

Es gibt für mich gena

lunar hat geschrieben:Oder eben ne eigene firmen-intere Root-CA aufbauen, wenn es um Intranet-Sites geht.

Mhhh, wenn ich überlege, gehen bei mir über die meisten SSl-Verbindungen Daten, die ich ungern in fremden Händen sehen würde.

veers · Sonntag 29. Juni 2008, 12:42

Wenn ich etwas wichtiges tue dann überprüfe ich das Zertifikat und und die Adresse sowieso noch einmal. Ich will ich nicht sagen dass diese Warnung für alle Menschen schlecht ist - aber mich stört sie.

Und ich habe dein Posting schon gelesen, aber ich verstehe deinen Standpunkt nicht so ganz

sma · Mittwoch 2. Juli 2008, 08:58

lunar hat geschrieben:
sma hat geschrieben:Um das nochmal deutlich zu sagen: Eine SSL-Verbindung mit einem selbstzertifizierten Zertifikat ist NICHT vertrauenswürdig und bietet damit auch KEINE Sicherheit.
So generell stimmt das auch wieder nicht. Zertifikate haben genau wie GPG Schlüssel einen Fingerprint, den man auch auf ähnlichen Wege überprüfen kann.

Und kennst du den Fingerprint des Zertifikats deiner Bank? Prüfst du den? Ich glaube nicht, dass das irgendjemand ernsthaft macht. Safari zeigt diesen nach zwei Klicks in einer längeren Liste von für normale Leute völlig unverständlichen Informationen nach mehrfachem Scrollen als letzten Punkt an. Wenn überhaupt, so schaut jemand, ob wohl Name und Land passt. Dies sind die ersten Informationen in besagter langer Liste.

Und diese kann man für selbstzertifizierte Zertifikate natürlich beliebig setzen. Daher bleibe ich dabei. Selbstzertifizierte Zertifikate geben keine Möglichkeit einfach zu prüfen, mit wem man da eigentlich redet und damit auch eine Sicherheit.

Stefan