"Diese Verbindung ist nicht sicher" bei Google.de und Youtube.com



  • Ich habe gerade eben meinen Rechner gestartet und wenn ich die Webseiten Google oder Youtube besuche, dann erhalte ich folgende Meldung in Firefox:

    "Diese Verbindung ist nicht sicher

    Der Inhaber von www.youtube.com hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.

    Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.

    Weitere Informationen…

    Fehler an Mozilla melden, um beim Identifizieren und Blockieren böswilliger Websites zu helfen"

    www.youtube.com verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil das Aussteller-Zertifikat unbekannt ist. Der Server sendet eventuell nicht die richtigen Zwischen-Zertifikate. Eventuell muss ein zusätzliches Stammzertifikat importiert werden. Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

    [code]
    https://www.youtube.com/

    Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.

    HTTP Strict Transport Security: true
    HTTP Public Key Pinning: true

    Der Fehler tritt nur bei FF auf. Bei Chrome funktioniert alles.
    Gestern ging noch alles.

    Aktive Plugins sind nur noscript und dict.cc.
    Die Distribution ist Ubuntu 16.04, Pakete sind alle auf dem aktuellen Stand.

    Meine /etc/hosts Datei sieht sauber aus.

    Ein Ping nach google geht nach:
    ping www.google.de
    PING www.google.de 172.217.22.99

    Und youtube:
    ping www.youtube.com
    PING youtube-ui.l.google.com (216.58.207.78)

    Könnte das an dem Spectre Patch von Firefox liegen, der eine ungenaue Zeitauflösung verursacht, so dass SSL vielleicht die Zeitangabe zu ungenau ist?



  • computertrolls schrieb:

    Könnte das an dem Spectre Patch von Firefox liegen, der eine ungenaue Zeitauflösung verursacht, so dass SSL vielleicht die Zeitangabe zu ungenau ist?

    Nein. Beim Spectre Patch geht es um Nanosekunden, die Gültigkeit von Zertifikaten beträgt üblicherweise Monate oder Jahre.
    Und was den TSL Handshake angeht: auch da sind Nanosekunden kein Ding, Kommunikation über's Netzwerk kann schnell mal in der Grössenordnung von Zehntelsekunden dauern.

    Bzw. kann man die Frage auch generischer beantworten: kein vernünftiges Programm/Protokoll/Software-Standard wird sich auf Timings im Nanosekundenbereich verlassen. Nicht wenn man etwas definieren will was zuverlässig funktioniert. Spectre ist übelstes Gebastel wenn man es an Standards misst an denen normale Software gemessen werden sollte. (Also normale im Sinn von welche die nicht versucht Sicherheitslücken auszunutzen.)



  • Jetzt geht youtube und google wieder.
    Aber was war der Fehler?

    Ich habe den Browser nicht neu gestartet.


  • Mod

    Hast du mal in Erwägung gezogen, dass das, was in der Meldung steht, die Wahrheit sein könnte? Also dass Youtube/Google ihre Seite (oder eher: Die lokale Spiegelversion, auf die dich der Loadbalancer geschickt hat) kurzfristig falsch konfiguriert haben? Soll selbst bei den besten Anbietern schon mal vorkommen.



  • Kann natürlich sein, aber auch das ist ein Grund warum ich das poste.
    Denn wenn das Problem bei Google liegt, dann werde ich wohl kaum der einzige sein.

    Damit ist noch nicht geklärt, warum es mit Chrome funktioniert hat.
    Inzwischen tritt der Fehler beim FF wieder auf.



  • Das Problem tritt immer noch auf. Diesmal aber unter Windows.

    Kann doch nicht sein, dass Goole > 24 h braucht um das Problem zu lösen und ich der einzige bin.

    Kann man da irgendwas, also auf meiner Seite, tun?



  • Hast du dir das Zertifikat mal angesehen? Also von wem das ausgestellt ist? Und verglichen ob Chrome das selbe Zertifikat anzeigt (Fingerprint)?



  • Das Zertifikat kann ich nur Base-64 kodiert in eine Datei speichern, wenn ich auf SEC_ERROR_UNKNOWN_ISSUER.

    Wenn man nur oben neben der URL, da wo normalerweise das Schlosssignal ist, draufklickt, dann wird da nur eine Leiste geöffnet, bei der dann dran steht "Verbindung ist nicht sicher."
    Ein Fingerprintvergleich ist so nicht möglich.

    Ich habe jetzt das Zertifikat Base-64 kodiert in eine Datei gespeichert.
    Seltsam ist dabei nur, dass es in drei

    -----BEGIN CERTIFICATE----- 
    ...
    -----END CERTIFICATE-----
    

    Blöcke aufgeteilt ist, wovon nur der erste Block dem Zertifikat entspricht, welches man in Chrome in eine Datei und BASE-64 kodiert exportieren kann.
    Ein diff Vergleich ergab, dass dieser Block mit dem von Chrome identisch ist.

    So weit so gut.
    Aber zu den anderen beiden Zertifikatsblöcken vom FF habe ich seitens Chrome keine Daten.
    Diese beiden Zertifikatsblöcke sind auch etwas kürzer als der erste, welcher mit dem von Chrome identisch ist.



  • Ich werde mal die cert8.db löschen, vielleicht hilft das.
    Das wird zumindest woanders mehrfach vorgeschlagen.

    Vielleicht ist die korrumpiert?



  • So sieht das ganze aus:

    https://www.youtube.com/
    
    Der Zertifikat-Aussteller der Gegenstelle wurde nicht erkannt.
    
    HTTP Strict Transport Security: true
    HTTP Public Key Pinning: true
    
    Zertifikatskette:
    
    -----BEGIN CERTIFICATE-----
    MIIHgzCCBmugAwIBAgIIXlL3udRjedswDQYJKoZIhvcNAQELBQAwSTELMAkGA1UE
    BhMCVVMxEzARBgNVBAoTCkdvb2dsZSBJbmMxJTAjBgNVBAMTHEdvb2dsZSBJbnRl
    cm5ldCBBdXRob3JpdHkgRzIwHhcNMTgwMTEwMDk1NTQzWhcNMTgwNDA0MDk0MDAw
    WjBmMQswCQYDVQQGEwJVUzETMBEGA1UECAwKQ2FsaWZvcm5pYTEWMBQGA1UEBwwN
    TW91bnRhaW4gVmlldzETMBEGA1UECgwKR29vZ2xlIEluYzEVMBMGA1UEAwwMKi5n
    b29nbGUuY29tMFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE3XnbBUqcUghRBwwc
    hm4t6HQuAKsPKx+9BCHBexopFVCAIh3SufxrNQwjxJJnLbjiN3IkndsNEjKooMAr
    gUnB4KOCBRswggUXMBMGA1UdJQQMMAoGCCsGAQUFBwMBMA4GA1UdDwEB/wQEAwIH
    gDCCA+EGA1UdEQSCA9gwggPUggwqLmdvb2dsZS5jb22CDSouYW5kcm9pZC5jb22C
    FiouYXBwZW5naW5lLmdvb2dsZS5jb22CEiouY2xvdWQuZ29vZ2xlLmNvbYIUKi5k
    YjgzMzk1My5nb29nbGUuY26CBiouZy5jb4IOKi5nY3AuZ3Z0Mi5jb22CFiouZ29v
    Z2xlLWFuYWx5dGljcy5jb22CCyouZ29vZ2xlLmNhggsqLmdvb2dsZS5jbIIOKi5n
    b29nbGUuY28uaW6CDiouZ29vZ2xlLmNvLmpwgg4qLmdvb2dsZS5jby51a4IPKi5n
    b29nbGUuY29tLmFygg8qLmdvb2dsZS5jb20uYXWCDyouZ29vZ2xlLmNvbS5icoIP
    Ki5nb29nbGUuY29tLmNvgg8qLmdvb2dsZS5jb20ubXiCDyouZ29vZ2xlLmNvbS50
    coIPKi5nb29nbGUuY29tLnZuggsqLmdvb2dsZS5kZYILKi5nb29nbGUuZXOCCyou
    Z29vZ2xlLmZyggsqLmdvb2dsZS5odYILKi5nb29nbGUuaXSCCyouZ29vZ2xlLm5s
    ggsqLmdvb2dsZS5wbIILKi5nb29nbGUucHSCEiouZ29vZ2xlYWRhcGlzLmNvbYIP
    Ki5nb29nbGVhcGlzLmNughQqLmdvb2dsZWNvbW1lcmNlLmNvbYIRKi5nb29nbGV2
    aWRlby5jb22CDCouZ3N0YXRpYy5jboINKi5nc3RhdGljLmNvbYIKKi5ndnQxLmNv
    bYIKKi5ndnQyLmNvbYIUKi5tZXRyaWMuZ3N0YXRpYy5jb22CDCoudXJjaGluLmNv
    bYIQKi51cmwuZ29vZ2xlLmNvbYIWKi55b3V0dWJlLW5vY29va2llLmNvbYINKi55
    b3V0dWJlLmNvbYIWKi55b3V0dWJlZWR1Y2F0aW9uLmNvbYIHKi55dC5iZYILKi55
    dGltZy5jb22CGmFuZHJvaWQuY2xpZW50cy5nb29nbGUuY29tggthbmRyb2lkLmNv
    bYIbZGV2ZWxvcGVyLmFuZHJvaWQuZ29vZ2xlLmNughxkZXZlbG9wZXJzLmFuZHJv
    aWQuZ29vZ2xlLmNuggRnLmNvggZnb28uZ2yCFGdvb2dsZS1hbmFseXRpY3MuY29t
    ggpnb29nbGUuY29tghJnb29nbGVjb21tZXJjZS5jb22CGHNvdXJjZS5hbmRyb2lk
    Lmdvb2dsZS5jboIKdXJjaGluLmNvbYIKd3d3Lmdvby5nbIIIeW91dHUuYmWCC3lv
    dXR1YmUuY29tghR5b3V0dWJlZWR1Y2F0aW9uLmNvbYIFeXQuYmUwaAYIKwYBBQUH
    AQEEXDBaMCsGCCsGAQUFBzAChh9odHRwOi8vcGtpLmdvb2dsZS5jb20vR0lBRzIu
    Y3J0MCsGCCsGAQUFBzABhh9odHRwOi8vY2xpZW50czEuZ29vZ2xlLmNvbS9vY3Nw
    MB0GA1UdDgQWBBRNsB6PTkXRt5oGAuENXr0+HgS2XTAMBgNVHRMBAf8EAjAAMB8G
    A1UdIwQYMBaAFErdBhYbvPZotXb1gba7Yhq6WoEvMCEGA1UdIAQaMBgwDAYKKwYB
    BAHWeQIFATAIBgZngQwBAgIwMAYDVR0fBCkwJzAloCOgIYYfaHR0cDovL3BraS5n
    b29nbGUuY29tL0dJQUcyLmNybDANBgkqhkiG9w0BAQsFAAOCAQEAbeQh7MGocd2I
    M1cT9BrWYz67w0fCo+k1vMyWoahwNaeJ1NOsk4dpI5fMBymBoekcKITa2b+1XX8z
    tyc616N9TALAI50GLLWESY1yo5LReu09YPOj7vp7jLQo073q8w8onlbrBMMsDa5K
    xaZsGAjgTguTKK9aM52fXx7DqCEEPb1gxUYet2twT4HrPldFlfr+dHB6sg9IWzrg
    d2j0J3Awkimo9Z0dv0ZvO44T0ewgQ4j4I7Ac4nAFIKr7Xm0opve6s0ger2iZEDqT
    8cshXNcxmQHqDoJp1ypqzvNI5Oho0tOrEGL7DlALIT9MnwDAZmEyAYclEzkvq3L4
    TJ6zlIOzUg==
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIEKDCCAxCgAwIBAgIQAQAhJYiw+lmnd+8Fe2Yn3zANBgkqhkiG9w0BAQsFADBC
    MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UEAxMS
    R2VvVHJ1c3QgR2xvYmFsIENBMB4XDTE3MDUyMjExMzIzN1oXDTE4MTIzMTIzNTk1
    OVowSTELMAkGA1UEBhMCVVMxEzARBgNVBAoTCkdvb2dsZSBJbmMxJTAjBgNVBAMT
    HEdvb2dsZSBJbnRlcm5ldCBBdXRob3JpdHkgRzIwggEiMA0GCSqGSIb3DQEBAQUA
    A4IBDwAwggEKAoIBAQCcKgR3XNhQkToGo4Lg2FBIvIk/8RlwGohGfuCPxfGJziHu
    Wv5hDbcyRImgdAtTT1WkzoJile7rWV/G4QWAEsRelD+8W0g49FP3JOb7kekVxM/0
    Uw30SvyfVN59vqBrb4fA0FAfKDADQNoIc1Fsf/86PKc3Bo69SxEE630k3ub5/DFx
    +5TVYPMuSq9C0svqxGoassxT3RVLix/IGWEfzZ2oPmMrhDVpZYTIGcVGIvhTlb7j
    gEoQxirsupcgEcc5mRAEoPBhepUljE5SdeK27QjKFPzOImqzTs9GA5eXA37Asd57
    r0Uzz7o+cbfe9CUlwg01iZ2d+w4ReYkeN8WvjnJpAgMBAAGjggERMIIBDTAfBgNV
    HSMEGDAWgBTAephojYn7qwVkDBF9qn1luMrMTjAdBgNVHQ4EFgQUSt0GFhu89mi1
    dvWBtrtiGrpagS8wDgYDVR0PAQH/BAQDAgEGMC4GCCsGAQUFBwEBBCIwIDAeBggr
    BgEFBQcwAYYSaHR0cDovL2cuc3ltY2QuY29tMBIGA1UdEwEB/wQIMAYBAf8CAQAw
    NQYDVR0fBC4wLDAqoCigJoYkaHR0cDovL2cuc3ltY2IuY29tL2NybHMvZ3RnbG9i
    YWwuY3JsMCEGA1UdIAQaMBgwDAYKKwYBBAHWeQIFATAIBgZngQwBAgIwHQYDVR0l
    BBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMCMA0GCSqGSIb3DQEBCwUAA4IBAQDKSeWs
    12Rkd1u+cfrP9B4jx5ppY1Rf60zWGSgjZGaOHMeHgGRfBIsmr5jfCnC8vBk97nsz
    qX+99AXUcLsFJnnqmseYuQcZZTTMPOk/xQH6bwx+23pwXEz+LQDwyr4tjrSogPsB
    E4jLnD/lu3fKOmc2887VJwJyQ6C9bgLxRwVxPgFZ6RGeGvOED4Cmong1L7bHon8X
    fOGLVq7uZ4hRJzBgpWJSwzfVO+qFKgE4h6LPcK2kesnE58rF2rwjMvL+GMJ74N87
    L9TQEOaWTPtEtyFkDbkAlDASJodYmDkFOA/MgkgMCkdm7r+0X8T/cKjhf4t5K7hl
    MqO5tzHpCvX2HzLc
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDfTCCAuagAwIBAgIDErvmMA0GCSqGSIb3DQEBBQUAME4xCzAJBgNVBAYTAlVT
    MRAwDgYDVQQKEwdFcXVpZmF4MS0wKwYDVQQLEyRFcXVpZmF4IFNlY3VyZSBDZXJ0
    aWZpY2F0ZSBBdXRob3JpdHkwHhcNMDIwNTIxMDQwMDAwWhcNMTgwODIxMDQwMDAw
    WjBCMQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UE
    AxMSR2VvVHJ1c3QgR2xvYmFsIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIB
    CgKCAQEA2swYYzD99BcjGlZ+W988bDjkcbd4kdS8odhM+KhDtgPpTSEHCIjaWC9m
    OSm9BXiLnTjoBbdqfnGk5sRgprDvgOSJKA+eJdbtg/OtppHHmMlCGDUUna2YRpIu
    T8rxh0PBFpVXLVDviS2Aelet8u5fa9IAjbkU+BQVNdnARqN7csiRv8lVK83Qlz6c
    JmTM386DGXHKTubU1XupGc1V3sjs0l44U+VcT4wt/lAjNvxm5suOpDkZALeVAjmR
    Cw7+OC7RHQWa9k0+bw8HHa8sHo9gOeL6NlMTOdReJivbPagUvTLrGAMoUgRx5asz
    PeE4uwc2hGKceeoWMPRfwCvocWvk+QIDAQABo4HwMIHtMB8GA1UdIwQYMBaAFEjm
    aPkr0rKV10fYIyAQTzOYkJ/UMB0GA1UdDgQWBBTAephojYn7qwVkDBF9qn1luMrM
    TjAPBgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBBjA6BgNVHR8EMzAxMC+g
    LaArhilodHRwOi8vY3JsLmdlb3RydXN0LmNvbS9jcmxzL3NlY3VyZWNhLmNybDBO
    BgNVHSAERzBFMEMGBFUdIAAwOzA5BggrBgEFBQcCARYtaHR0cHM6Ly93d3cuZ2Vv
    dHJ1c3QuY29tL3Jlc291cmNlcy9yZXBvc2l0b3J5MA0GCSqGSIb3DQEBBQUAA4GB
    AHbhEm5OSxYShjAGsoEIz/AIx8dxfmbuwu3UOx//8PDITtZDOLC5MH0Y0FWDomrL
    NhGc6Ehmo21/uBPUR/6LWlxz/K7ZGzIZOKuXNBSqltLroxwUCEm2u+WR74M26x1W
    b8ravHNjkOR/ez4iyz0H7V84dJzjA1BOoa+Y7mHyhD8S
    -----END CERTIFICATE-----
    

    Ich habe das mal in den Zertifikat Decoder auf folgender Webseite gesteckt.
    https://www.sslshopper.com/certificate-decoder.html

    Der erste Block ist mit dem von Chrome identisch und liefert folgende Daten:

    Certificate Information:
    Common Name: *.google.com
    Subject Alternative Names: *.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com, *.db833953.google.cn, *.g.co, *.gcp.gvt2.com, *.google-analytics.com, *.google.ca, *.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk, *.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co, *.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de, *.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl, *.google.pl, *.google.pt, *.googleadapis.com, *.googleapis.cn, *.googlecommerce.com, *.googlevideo.com, *.gstatic.cn, *.gstatic.com, *.gvt1.com, *.gvt2.com, *.metric.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com, *.youtube.com, *.youtubeeducation.com, *.yt.be, *.ytimg.com, android.clients.google.com, android.com, developer.android.google.cn, developers.android.google.cn, g.co, goo.gl, google-analytics.com, google.com, googlecommerce.com, source.android.google.cn, urchin.com, www.goo.gl, youtu.be, youtube.com, youtubeeducation.com, yt.be
    Organization: Google Inc
    Locality: Mountain View
    State: California
    Country: US
    Valid From: January 10, 2018
    Valid To: April 4, 2018
    Issuer: Google Internet Authority G2, Google Inc
    Serial Number: 6796767165159799259 (0x5e52f7b9d46379db)
    

    Der 2. Block folgende:

    Certificate Information:
    Common Name: Google Internet Authority G2
    Organization: Google Inc
    Country: US
    Valid From: May 22, 2017
    Valid To: December 31, 2018
    Issuer: GeoTrust Global CA, GeoTrust Inc. Write review of GeoTrust
    Serial Number: 0100212588b0fa59a777ef057b6627df
    

    Der 3. Block:

    Certificate Information:
    Common Name: GeoTrust Global CA
    Organization: GeoTrust Inc.
    Country: US
    Valid From: May 20, 2002
    Valid To: August 20, 2018
    Issuer: Equifax Write review of GeoTrust
    Serial Number: 1227750 (0x12bbe6)
    

    Auch habe ich gerade herausgefunden, das ich in Chrome über die Anzeige des Zertifizierungspfad an die anderen beiden Blöcke herankomme.

    Die kann ich also jetzt doch auch Base64 kodiert in eine Datei speichern und vergleichen.
    Das habe ich gerade gemacht.
    Bis auf den letzten von GeoTrust Global CA ist alles identisch.

    Der 3. Block von Chrome ergibt folgendes, wenn man es im Decoder einfügt:

    Certificate Information:
    Common Name: GeoTrust Global CA
    Organization: GeoTrust Inc.
    Country: US
    Valid From: May 20, 2002
    Valid To: May 20, 2022
    Issuer: GeoTrust Global CA, GeoTrust Inc.
    Serial Number: 144470 (0x23456)
    

    Die Punkte "Valid to", "Issuer" und "Serial Number" sind unterschiedlich.

    So sieht der 3. Block aus Chrome aus:

    -----BEGIN CERTIFICATE-----
    MIIDVDCCAjygAwIBAgIDAjRWMA0GCSqGSIb3DQEBBQUAMEIxCzAJBgNVBAYTAlVT
    MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMRswGQYDVQQDExJHZW9UcnVzdCBHbG9i
    YWwgQ0EwHhcNMDIwNTIxMDQwMDAwWhcNMjIwNTIxMDQwMDAwWjBCMQswCQYDVQQG
    EwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UEAxMSR2VvVHJ1c3Qg
    R2xvYmFsIENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2swYYzD9
    9BcjGlZ+W988bDjkcbd4kdS8odhM+KhDtgPpTSEHCIjaWC9mOSm9BXiLnTjoBbdq
    fnGk5sRgprDvgOSJKA+eJdbtg/OtppHHmMlCGDUUna2YRpIuT8rxh0PBFpVXLVDv
    iS2Aelet8u5fa9IAjbkU+BQVNdnARqN7csiRv8lVK83Qlz6cJmTM386DGXHKTubU
    1XupGc1V3sjs0l44U+VcT4wt/lAjNvxm5suOpDkZALeVAjmRCw7+OC7RHQWa9k0+
    bw8HHa8sHo9gOeL6NlMTOdReJivbPagUvTLrGAMoUgRx5aszPeE4uwc2hGKceeoW
    MPRfwCvocWvk+QIDAQABo1MwUTAPBgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBTA
    ephojYn7qwVkDBF9qn1luMrMTjAfBgNVHSMEGDAWgBTAephojYn7qwVkDBF9qn1l
    uMrMTjANBgkqhkiG9w0BAQUFAAOCAQEANeMpauUvXVSOKVCUn5kaFOSPeCpilKIn
    Z57QzxpeR+nBsqTP3UEaBU6bS+5Kb1VSsyShNwrrZHYqLizz/Tt1kL/6cdjHPTfS
    tQWVYrmm3ok9Nns4d0iXrKYgjy6myQzCsplFAMfOEVEiIuCl6rYVSAlk6l5PdPcF
    PseKUgzbFbS9bZvlxrFUaKnjaZC2mqUPuLk/IH2uSrW4nOQdtqvmlKXBx4Ot2/Un
    hw4EbNX/3aBd7YdStysVAq45pmp06drE57xNNB6pXE0zX5IJL4hmXXeXxx12E6nV
    5fEWCRE11azbJHFwLJhWC9kXtNHjUStedejV0NxPNO3CBWaAocvmMw==
    -----END CERTIFICATE-----
    


  • Hm. Ist es möglich dass Firefox ein anderes Zertifikat bekommt, weil er unterschiedliche Algorithmen unterstützt? Ich muss zugeben dass ich mich nicht SO genau mit SSL/TLS auskenne um das beantworten zu können.

    Was ich ausschliessen würde ist dass Chrom auf Grund des User-Agent Strings was anderes bekommt, da dieser ja erst über HTTP übertragen wird, und da ist der TLS Handshake ja schon lange passiert. Und wenn du es auf dem selben Rechner machst, dann fällt mir auch sonst nichts ein was unterschiedliche sein könnte (DNS, Proxy, ... muss ja fast alles gleich sein).



  • Unter Arch Linux ist bei mir im Firefox das Root Zertifikat wie bei dir im Chrome.

    Die Root Zertifikate werden auch nicht übertragen, sondern werden vom Browser mitgebracht (sonst wäre kein Vergleich möglich). Vielleicht hat da Ubuntu beim Build Mist gebaut oder die sind bei dir nicht richtig geupdatet worden. Du kannst ja mal in den Zertifikatseinstellungen gucken welches Zertifikat für GeoTrust Global CA drin ist.



  • Ich habe das Problem sowohl mit dem Firefox unter (K)ubuntu, als auch mit dem für Windows.

    Die einzige Verbindung die es hier gibt ist, dass es
    A) der gleiche Rechner ist
    und
    😎 beide Firefox Browser per Firefox Sync synchronisiert werden.

    Die Root Zertifikate werden auch nicht übertragen, sondern werden vom Browser mitgebracht (sonst wäre kein Vergleich möglich). Vielleicht hat da Ubuntu beim Build Mist gebaut oder die sind bei dir nicht richtig geupdatet worden. Du kannst ja mal in den Zertifikatseinstellungen gucken welches Zertifikat für GeoTrust Global CA drin ist.

    Es ist seltsam.
    Wenn ich direkt bei den Einstellungen unter Zertifikate > Zertifikate anzeige nach dem GeoTrust Global CA Zertifikat schaue und dieses zum Vergleichen Base64 in eine Textdatei exportiere, dann ist es genau das, welches Chrome auch verwendet, also das richtige.
    Nur wenn ich youtube.com oder google.com aufrufe, ist das andere Zertifikat am Zug.
    Google.de funktioniert übrigens, da gibt es kein Problem.



  • Auf meinem anderen Rechner, auf dem ebenfalls Kubuntu 16.04 installiert ist, ist das Zertifikat in Ordnung. Da gehen auch Youtube.com und Google.com.



  • Ergänzung:
    Beim anderen Rechner verwende ich Firefox Sync allerdings nicht.


  • Mod

    Ist die Firefox-Version evtl. älter?

    MfG SideWinder



  • Nein, die Version ist ganz aktuell.



  • Sehr seltsam, jetzt plötzlich, ohne FF neu zu starten, hatte den die ganze Zeit laufen, stimmt der zweite und Dritte Zertifikatsblock.
    Also
    /GlobalSigne Root CA - R2
    und
    /GlobalSigne Root CA - R2/Google Internet Authority G3

    Baum kann man sich so vorstellen:
    /3/2/1

    Der dritte (root) war vorher nicht so wie der von Chrome, jetzt ist er es.

    Aber das letzte Zertifikat, also Block 1 ist jetzt verschieden.
    Sowohl Youtube.com als auch Google.com hat nun ein anderes Zertifikat:

    youtube.com:

    Common Name: *.google.com
    Subject Alternative Names: *.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com, *.db833953.google.cn, *.g.co, *.gcp.gvt2.com, *.google-analytics.com, *.google.ca, *.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk, *.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co, *.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de, *.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl, *.google.pl, *.google.pt, *.googleadapis.com, *.googleapis.cn, *.googlecommerce.com, *.googlevideo.com, *.gstatic.cn, *.gstatic.com, *.gvt1.com, *.gvt2.com, *.metric.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com, *.youtube.com, *.youtubeeducation.com, *.yt.be, *.ytimg.com, android.clients.google.com, android.com, developer.android.google.cn, developers.android.google.cn, g.co, goo.gl, google-analytics.com, google.com, googlecommerce.com, source.android.google.cn, urchin.com, www.goo.gl, youtu.be, youtube.com, youtubeeducation.com, yt.be
    Organization: Google Inc
    Locality: Mountain View
    State: California
    Country: US
    Valid From: January 10, 2018
    Valid To: April 4, 2018
    Issuer: Google Internet Authority G2, Google Inc
    Serial Number: 6796767165159799259 (0x5e52f7b9d46379db)
    

    google.com

    Common Name: www.google.com
    Subject Alternative Names: www.google.com
    Organization: Google Inc
    Locality: Mountain View
    State: California
    Country: US
    Valid From: January 10, 2018
    Valid To: April 4, 2018
    Issuer: Google Internet Authority G2, Google Inc
    Serial Number: 7328483004236471378 (0x65b40076e2009c52)
    

    Ist das normal, das sich Zertifikate stündlich ändern?
    Eventuell durch eine Umleitung auf andere Server?

    Youtube.com und google.com gehen mit diesen neuen Zertifikaten, allerdings sind diese beiden, also /3/2/* eben nicht mit dem von Chrome identisch.



  • Die MD5 Prüfsummen sehen momentan alle so aus.
    Ich habe dazu mal zu jeder Datei ein Kommentar gemacht.

    Die Baumstruktur bei den Zertifikaten in FF ist folgende
    /3/2/1

    bzw.
    /cer_3_kurz/cer_2_mittellang/cer_1_lang

    Die Längenangabe steht für die Anzahl der Zeichen, wenn man die Base64 kodierten Dateien öffnet.

    ich@comp MINGW64 /zertifikate/cer_1_lang
    $ md5sum * | sort
    145f0a67e14e4ee252c13941f5a3e2a4 *google_com_1_wwwgooglecom.crt   // Firefox, gleicher Rechner, neu, Google.com URL
    4162d620f3b913db79a12d69eb72c31a *test_chrome1.cer                // Chrome, gleicher Rechner
    4162d620f3b913db79a12d69eb72c31a *test_ff1.cer                    // Firefox, gleicher Rechner, alt
    9dec3b860a7ca5eee8d552bc92495399 *yt_1.crt                        // Firefox, gleicher Rechner, neu, Youtube.com URL
    
    ich@comp MINGW64 /zertifikate/cer_1_lang
    $ cd ../cer_2_mittellang/
    
    ich@comp MINGW64 /zertifikate/cer_2_mittellang
    $ md5sum * | sort
    9e06d2099c44f90e837c177b91832f1c *google_com_2_GoogleInternetAuthorityG2.crt    // Firefox, gleicher Rechner, neu, Google.com URL
    9e06d2099c44f90e837c177b91832f1c *test_chrome2.cer                              // Chrome, gleicher Rechner
    9e06d2099c44f90e837c177b91832f1c *test_ff2.cer                                  // Firefox, gleicher Rechner, alt
    9e06d2099c44f90e837c177b91832f1c *yr_2.crt                                      // Firefox, gleicher Rechner, neu, Youtube.com URL
    
    ich@comp MINGW64 /zertifikate/cer_2_mittellang
    $ cd ../cer_3_kurz/
    
    ich@comp MINGW64 /zertifikate/cer_3_kurz
    $ md5sum * | sort
    1dce33180618b6fcfdecc0412544fdf2 *test_ff3.cer                                // Firefox, gleicher Rechner, alt
    895e61409b9dcbc24481cd4184adf27c *GeoTrustGlobalCa_zweitrechner_3_kurz.crt    // Firefox, Zweitrechner
    895e61409b9dcbc24481cd4184adf27c *google_com_3_GeoTrustGlobalCA.crt           // Firefox, gleicher Rechner, neu, Google.com URL 
    895e61409b9dcbc24481cd4184adf27c *test_chrome3.cer                            // Chrome, gleicher Rechner
    895e61409b9dcbc24481cd4184adf27c *yt_3.crt                                    // Firefox, gleicher Rechner, neu, Youtube.com URL
    
    ich@comp MINGW64 /zertifikate/cer_3_kurz
    $
    

    Die Dateien mit "Firefox alt" sind die alten Zertifikate, bei denen Google.com und Youtube.com nicht funktioniert hat.
    Alle Chrome Dateien sind von Chrome und haben ungefähr das gleiche Alter.
    Die Datei vom Zweitrechner ist etwas jünger.
    Und die Dateien mit neu habe ich gerade jetzt erstellt.



  • Ich habe jetzt noch einmal von Chrome die Zertifikate in Dateien abgespeichert.

    895e61409b9dcbc24481cd4184adf27c *chrom_neu_google_kurz.cer
    895e61409b9dcbc24481cd4184adf27c *chrom_neu_yt_kurz.cer
    9dec3b860a7ca5eee8d552bc92495399 *chrom_neu_google_lang.cer
    9dec3b860a7ca5eee8d552bc92495399 *chrom_neu_yt_lang.cer
    9e06d2099c44f90e837c177b91832f1c *chrom_neu_google_mittellang.cer
    9e06d2099c44f90e837c177b91832f1c *chrom_neu_yt_mittellang.cer
    

    Jetzt sind es überall die gleichen, die ich jetzt auch in Firefox habe.

    Meine Hypothese ist jetzt folgende:
    Chrome hat gestern noch mit den alten Zertifikaten, die noch funktionierten gearbeitet.
    Firefox hat gestern die Zertifikate nur teilweise upgedated, so dass es bis heute Abend nicht funktionierte.
    Jetzt hat Firefox alle Zertifikate upgedatet und Chrome hat ebenfalls alle Zertifikate upgedatet.

    Ich weiß nicht wie das mit den Zertifikaten richtig genau funktioniert, aber das wäre wenigstens eine Erklärung.


Log in to reply