Auf einem anderen Rechner (z.B. mit Kubuntu 14.04) treten solche Fehlermeldungen gar nicht.
Ich habe eine vorherige Systemwiederherstellung eingespielt und alles ist wieder wie zuvor in Ordnung geworden.
Nach einer massiven Systemaktualisierung ist aber das alles wieder aufgetreten. Wie ist das denn möglich?
Bei allen anderen gesicherten Verbindungen läuft alles einwandfrei.
Meine vorherige Kernel-Version war 3.11.10-7, die aktuelle ist -21. Kann das am Kernel liegen?
bei einem anderen Rechner die Fehlermeldung nicht auftritt;
das Zertifikat vor meiner Aktualisierung noch als gültig erkannt war.
Wenn das Root-Zertifikat wirklich entfernt wurde, warum gilt das nicht für alle, sondern nur für mich?
Hat jemand schon versucht, den Fehler zu reproduzieren?
bei einem anderen Rechner die Fehlermeldung nicht auftritt;
das Zertifikat vor meiner Aktualisierung noch als gültig erkannt war.
Dann wurde eben scheinbar das entsprechende Zertifikat durch das Update entfernt.
In Kubuntu ists scheinbar noch vorhanden.
Wenn das Root-Zertifikat wirklich entfernt wurde, warum gilt das nicht für alle, sondern nur für mich?
Ja, zumindest für alle die die selbe Distribution benutzen und alle Updates installiert haben.
Wenns am Kernel liegen würde wie von dir angedacht (was natürlich Blödsinn ist), sollte es aber genauso alle betreffen, nicht nur dich…
Hat jemand schon versucht, den Fehler zu reproduzieren?
Nein, wie denn?
Ich habe keine Handy-Wertkarte die ich aufladen könnte oder will.
Jedenfalls liegt das eigentliche Problem eher bei der Webseite, würde ich sagen, weil das Zertifikat das sie benutzen eben scheinbar nicht mehr gültig ist…
Mit “Fehler reproduzieren” meinte ich, Hauptseite aufrufen, Betrag (in der Box oben rechts) auswählen und bestätigen, um die eigentliche betroffene Seite aufzurufen.
Nicht nötig, Nummer und Kreditkarte einzugeben.
Als Erklärung ist das aber schon ausführlich. Nur dass es mir so blöd scheint, dass das nur openSuSE betrifft. Auf Chrome für Android erscheint höchstens ein gelbes Dreieck neben dem Schlosszeichen. Details sagen: “Identität bestätigt, öffentlicher Eintrag liegt jedoch nicht vor”, weiterhin: “Enthält andere, nicht sichere Ressourcen” (Grund fürs Schloss mit gelbem Dreieck).
Tja, du hättest ja zumindest einen Link posten können, um es anderen zu erleichtern das auszuprobieren.
Und da mein Italienisch nicht ganz so toll ist, wär ich nie im Leben darauf gekommen, dort in der Box einen Betrag auszuwählen…
Mit Konqueror und Opera gehts übrigens, komplett ohne Warnung. Aber soweit ich weiß verwenden die nicht unbedingt genau die selben Zertifikate, bzw. besonders Opera ist ja schon etwas älter und nimmts da vielleicht mit der Sicherheit nicht ganz so genau.
Als Erklärung ist das aber schon ausführlich. Nur dass es mir so blöd scheint, dass das nur openSuSE betrifft.
Tja, unterschiedliche Distributionen haben halt auch unterschiedliche Auffassungen von Sicherheit.
Vielleicht brauchen die aber auch nur etwas länger für so ein Update.
Auf Chrome für Android erscheint höchstens ein gelbes Dreieck neben dem Schlosszeichen. Details sagen: “Identität bestätigt, öffentlicher Eintrag liegt jedoch nicht vor”, weiterhin: “Enthält andere, nicht sichere Ressourcen” (Grund fürs Schloss mit gelbem Dreieck).
Tja, das sagt ja auch schon was aus, und beweist dass es kein openSUSE Problem ist.
Firefox nimmts eben genauer, und verweigert den Zugriff dann komplett.
Bei Chrome kannst du ja laut deinem Bildschirmphoto zumindest auf “Trotzdem fortfahren” klicken.
Übrigens, laut Konqueror hat die Seite “GTE CyberTrust Global Root” als Root Zertifikat: http://wstaw.org/m/2014/09/03/ssl.png
Genau dieses wurde aber in mozilla-nss-certs entfernt. Vom Paket-Changelog:
* Sat Jul 05 2014 wr@rosenauer.org
- update to 3.16.3
* required for Firefox 32
New Functions:
* CERT_GetGeneralNameTypeFromString (This function was already added
in NSS 3.16.2, however, it wasn't declared in a public header file.)
Notable Changes:
* The following 1024-bit CA certificates were removed
- Entrust.net Secure Server Certification Authority
- GTE CyberTrust Global Root
- ValiCert Class 1 Policy Validation Authority
- ValiCert Class 2 Policy Validation Authority
- ValiCert Class 3 Policy Validation Authority
...
Es ist also 100%ig das der Grund.
Auf anderen Distributionen wirst du vermutlich spätestens nach dem Update auf Firefox 32 das selbe Problem haben (solange die Seite kein neues Zertifikat bekommt), weil Firefox 32 scheinbar zwingend die Version 3.16.3 von mozilla-nss-certs benötigt, in der dieses Root Zertifikat eben entfernt wurde.
Hier zwei Bugreports wo gefordert wird das Zertifikat zu entfernen: https://bugzilla.mozilla.org/show_bug.cgi?id=881553 https://bugzilla.mozilla.org/show_bug.cgi?id=936304
Scheinbar werden 1024bit Root Zertifikate als nicht mehr sicher genug betrachtet.[/size]
Gute Neuigkeiten:
Beim aktuellen Firefox Update wurde dieses Zertifikat wieder hinzugefügt:
* Die Aug 12 2014 wr@rosenauer.org
- update to 3.16.4 (bnc#894201)
* now required for Firefox 32
Notable Changes:
* The following 1024-bit root CA certificate was restored to allow more
time to develop a better transition strategy for affected sites. It was
removed in NSS 3.16.3, but discussion in the mozilla.dev.security.policy
forum led to the decision to keep this root included longer in order to
give website administrators more time to update their web servers.
- CN = GTE CyberTrust Global Root
Die angesprochene Seite sollte nun also auch wieder in Firefox funktionieren…
