Dienstag, 19. August 2008, 15:55
SSL-Verhalten in Firefox 3 abstellen
Wer das "nervige" Standard-SSL-Verhalten von Firefox 3 abstellen möchte, für den hier eine Kurzanleitung:
about:config
browser.xul.error_pages.expert_bad_cert auf true setzen
browser.ssl_override_behavior auf 2 setzen
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
M
Matthias
rae
a) von CACert.org ausgestellt wurde, oder
b) selbstsigniert ist, weil es ein privates Angebot ist, womit kein Profit erzielt wird, was aber auch keine (weiteren) Kosten verursachen soll?
Ich wuerde sagen, mit dieser Aussage lehnst Du Dich ganz schoen weit aus dem Fenster...
Jan
Matthias
mømø
http://kb.mozillazine.org/Browser.xul.error_pages.expert_bad_cert
True - Unhide the “add exception” button on the SSL error page, allowing users to directly accept a bad certificate.
False - Hide the advanced UI, requiring users to click through explanatory dialogs before adding an exception. (Default)
http://kb.mozillazine.org/Browser.ssl_override_behavior
0 - Do not pre-populate the current URL as an exception and do not pre-fetch the SSL certificate.
1 - Pre-populate the current URL but do not pre-fetch the certificate. (Default)
2 - Pre-populate the current URL and pre-fetch the certificate.
rae
Bei CACert.org scheiden sich allerdings auch hier unsere Geister. Wenn auch Firmen das "Wagnis" mehr und mehr eingehen, die kostenlosen (und nicht unsichereren) Zertifikate von CACert.org einzusetzen, erhoeht sich der Druck auf die Browserhersteller, deren Root-Zertifikate endlich mit auszuliefern
Crs
b) Selbst signieren muss man ja nicht mehr, dank CACert.
Ein selfsigned dessen Fingerprint ich nicht kenne (Was bei "privaten Angeboten" ja üblich ist) ist völlig sinnfrei und kann auch einfach weggelassen werden...
Sam
Nur leider funktioniert es bei mir überhaupt nicht. Die Konfiguration ist ja schnell geändert - nur Auswirkungen auf das Verhalten des Browsers hat das irgendwie keine.
Gibts noch irgendwo eine magische Konfiguration die sagt das diese Konfiguration genutzt werden soll?
Jan
Online-Banking würde ich darüber nicht machen, aber unnütz ist auch so eine Konfiguration nicht.
BTW: Es gibt gute Gründe, CAcert nicht in der Browser zu importieren (da das "Eigentum" an einer Domain durch eine Mail ermittelt wird, könnte ich die auch mitlesen oder per DNS-Cache-Poisoning zu mir umleiten). Konsequenter Weise sollte man dann nur eine ganze Reihe der mitgelieferten Authorities auch mit rausschmeissen. Wenn man das tut, kann es trotzdem sinnvoll sein, für eine bestimmte Site wiederum eine Ausnahme einzurichten.
rae
Der mangelnden Sicherheit bei der Authentifizierung des Domaininhabers kann man recht leicht begegnen - bestimmte Funktionen stehen nur CAcert-Mitgliedern zu, die einen gewissen Vertrauensstatus erreicht haben. Man legt seinen Ausweis vor bei mindestens drei sogenannten Assurern und laesst sich damit die persönliche identitaet bestaetigen. Das heisst, dass es zwar nicht so ohne Weiteres ersichtlich ist fuer einen normalen Besucher mit Root-Zertifikat von CAcert installiert, ob jemand ein "Domain-Faker" ist, aber erstens ueberpruefen die Leute bei CAcert schon aus eigenem Interesse idR die Whois-Daten der Domain, und zweitens ist es Jedermann moeglich, den "Faulen Hund" zu identifizieren. Von daher ist dein Argument gegen einen Import der Root-Zertifikats wenn ueberhaupt nur akademischer Natur.
Knirps
Matthias
Balu
Matthias Versen
Selbstsignierte Certs sind nur sinnvoll wenn man absolut sicher sein kann nicht duch ein Mitm betroffen zu sein während man es akzeptiert. (geschlossenes LAN).
Die verschlüsselung nutzt absolut nichts, man kann genauso im Klartext übertragen wenn die ganze Kette unterbrochen ist durch selsbtsignierte Zertifikate oder unsichere CAcerts root zertifikate.
Es gibt fertige MITM Tools, das geht einfacher als mit Netzwerksniffer im Klartext mitzulesen, inklusive DNS poison attack.
Also entweder man will Sicherheit oder man braucht halt keine (http).
Mal eben solche Tips ohne weitere Hinweise zu verbreiten halt ich für fahrlässig.
Manuel Schmitt (manitu)
rae
Dein Sicherheitsbewusstsein in allen Ehren - ganz ohne Ironie oder Sarkasmus, denn meine tagtaegliche Erfahrung zeigt, dass jenseits von einigen "Geeks" das Thema Sicherheit so gar keine Rolle spielt. Trotzdem haben auch einfache Zylinderschloesser ihren Sinn, auch wenn sie ein professioneller Eindringling mit oder ohne geeignetem Werkzeug in wenigen Sekunden ueberwunden hat... *kopfschuettel*
Die Frage ist immer, wieviel Aufwand ich betreiben muss um wieviel Sicherheit zu erreichen - und wie hoch ueberhaupt die reale Gefaehrdung ist. Ab einem gewissen Punkt lohnt es sich einfach nicht, bzw wird unwirtschaftlich, weil der abgewendete Schaden in keinem Verhaeltnis mehr steht zu den Aufwendungen.
franc
https://addons.mozilla.org/de/firefox/addon/6843
Und auch noch perspectives:
https://addons.mozilla.org/de/firefox/addon/7974
Damit und den oben angeführten about:config Einträgen lässt sich das Pseudo-Sicherheitsgebaren vom FF 3.x wieder ertragen