jolexin
Anmeldungsdatum: 22. Dezember 2009
Beiträge: 325
Wohnort: München
|
Ich habe mehrfach vergeblich versucht, Stammzertifikate von CAcert in den Firefox-Zertifikatsspeicher zu importieren und habe unerklärliche Dinge erlebt! Die beiden zu importierenden Zertifikate (root.crt und class3.crt) muss man von einer bestimmten CAcert-Webseite herunterladen. Danach ruft man im Firefox die Z.-Verwaltung wie folgt auf: Bearbeiten / Einstellungen / Extras / Reiter Zertifikate / Zertifikate Anzeigen Der Z.-Manager hat einen Reiter "Zertifizierungsstellen"; dort gehe ich hinein. Der Import von Root.crt läuft wie folgt ab (der von class3.crt ebenso):
Ich klicke <Import>; Mit dem Dateidialog wähle ich das heruntergeladene Z. namens "Root.crt" Ich werde aufgefordert, das Vertrauen in diese Z.-Stelle festzulegen. Ich wähle "Dieser CA vertrauen, um Websites zu identifizieren" und klicke <OK>. Der Vertrauensdialog wird geschlossen; ich sehe wieder die Liste der Z.Stellen.
Doch es fehlt die soeben importierte! Diesen Vorgang habe ich mit class3.crt wiederholt. Wieder kein Ergebnis sichtbar. Im Reiter "Zertifizierungsstellen" sind die Z.-Stellen aufsteigend nach Gruppen-Namen geordnet. Die importierten Z.-Stellen sollten unter einer neuen Gruppe "Root CA" stehen und "Root CA" und "CAcert Class 3 Root" heißen. Die neue Gruppe "Root CA" müsste zwischen "QuoVadis Limited" und "RSA Security Inc" zu sehen sein. Dort ist sie nicht zu sehen! Auch sonst nirgendwo in der Liste. Die Auswirkung dieses Fehlverhaltens ist die, dass ich nicht auf die Seite https://www.cacert.org gehen kann, es sei denn, ich setze eine dauerhafte Sicherheits-Ausnahmeregel. Das habe ich vorläufig getan, wenn auch widerwillig. Jetzt kommt das Wunder! Ich wollte das Problem einem Bekannten vorführen, boote meinen PC ... und plötzlich sehe ich bei den Z.-Stellen zwischen "QuoVadis Limited" und "RSA Security Inc" die Gruppe "Root CA". Ich muss nur noch das Vertrauen für die beiden Z. bearbeiten. Bei dem Festlegen meines Vertrauens tritt ein anderer Fehler auf: Ich will die Vertrauensdialogmaske durch Klick auf <ok> schließen. Nichts geschieht! ich kann nur <abbrechen> klicken. Also breche ich ab. Ich öffne die Dialogmaske erneut und sehe, dass meine Eingabe dennoch gespeichert wurde. Kann das ein Ubuntu- oder ein Firefox-Fehler sein? Na gut, denke ich, schließe Firefox und Ubuntu. Jetzt komt das 2. Wunder! Ich boote meinen PC erneut, schaue mir in Firefox nochmal die Liste der Z.Stellen an. Die vorher importierte Gruppe "Root CA" ist verschwunden. Vergeblich versuche ich erneut, die beiden o.g. Dateien zu importieren. Angesichts so vieler Wunder bin ich erst mal sprachlos! Bearbeitet von jug: Unser Forum kann auch Listen, bitte nutze die Syntax sinnvoll und sparsam. Unterstreichung ist kein geeignete Hervorhebung, weil das im Internet zu leicht mit einem Link verwechselt werden kann – kusiv dafür sinnvoller.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Na dann ist vielleicht das Thema Glaubt Ihr an Wunder? etwas für Dich. 😉
|
dinosaurus
Anmeldungsdatum: 19. Oktober 2010
Beiträge: 138
|
@jolexin: Ich konnte das von dir beschriebene auf meinem System (15.04) nachvollziehen. Da du dies auf Trusty Tahr beobachtest, vermute ich ein Problem mit Firefox 37, da ich unter 14.04/14.10 kein Probleme mit cacert-Zertifikaten hatte. Gelingt ein Import über die Console? | $ wget http://www.cacert.org/certs/root.crt http://www.cacert.org/certs/class3.crt
$ sudo cp root.crt /usr/local/share/ca-certificates/cacert-root.crt
$ sudo cp class3.crt /usr/local/share/ca-certificates/cacert-class3.crt
$ sudo update-ca-certificates
|
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
dinosaurus schrieb:
Gelingt ein Import über die Console? | $ wget http://www.cacert.org/certs/root.crt http://www.cacert.org/certs/class3.crt
$ sudo cp root.crt /usr/local/share/ca-certificates/cacert-root.crt
$ sudo cp class3.crt /usr/local/share/ca-certificates/cacert-class3.crt
$ sudo update-ca-certificates
|
Firefox hat einen eigenen Zertifakt-Store, der unabhaengig von dem des Systems ist.
|
dinosaurus
Anmeldungsdatum: 19. Oktober 2010
Beiträge: 138
|
sebix schrieb: Firefox hat einen eigenen Zertifakt-Store, der unabhaengig von dem des Systems ist.
Ja, ich komme von Debian, Tschuldigung. Für Ubuntu sollte es alternativ so https://wiki.ubuntu.com/CAcert funktionieren.
|
jolexin
(Themenstarter)
Anmeldungsdatum: 22. Dezember 2009
Beiträge: 325
Wohnort: München
|
@dinosaurus: Danke für die Befehlsfolge! Der spannendste Befehl ist wohl: | $ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs... 0 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....
done.
done.
|
Danach stelle ich fest: Im Firefox Zertifikate-Speicher sehe ich die CAcert-Z. weiterhin nicht. In /etc/ssl/certs sehe ich folgendes: | ls | grep cacert
cacert-class3.pem
cacert-root.pem
|
In die Datei ca-certificates.crt kann ich leider nicht hineinblicken bzw. das, was ich mit gedit sehe, ergibt keine Erkenntnis. Das ist jedoch wahrscheinlich die Datei, aus der Firefox seine Z. liest, nicht wahr?
|
jolexin
(Themenstarter)
Anmeldungsdatum: 22. Dezember 2009
Beiträge: 325
Wohnort: München
|
@ dinosaurus: https://wiki.ubuntu.com/CAcert habe ich auch versucht - vergeblich, siehe: | $ sudo apt-get install ca-certificates
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
ca-certificates ist schon die neueste Version.
0 aktualisiert, 0 neu installiert, 0 zu entfernen und 0 nicht aktualisiert.
$ firefox /usr/share/ca-certificates/cacert.org/*.crt
(process:3487): GLib-CRITICAL **: g_slice_set_config: assertion 'sys_page_size == 0' failed
|
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
@jolexin
Wie oben schon geschrieben wird der cert store des Systems in /usr/ssl/certs von Firefox nicht beachtet. Er gilt aber fuer die meisten anderen Programme, darunter das System selbst und jedefalls alle Kommandozeilenprogramme, was dir aber jetzt auch nicht weiterhilft. Wenn ich die CaCert-Zertifikate in Firefox importieren moechte, muss ich diese, wie auch im Wiki unter CaCert beschrieben, nur direkt oeffnen und bekomme von Firefox die Frage gestellt, ob ich sie importieren moechte. Ich bin mir nicht sicher, ob du das schon gemacht hast.
|
zarl
Anmeldungsdatum: 4. Mai 2015
Beiträge: 4
|
dinosaurus schrieb: sebix schrieb: Firefox hat einen eigenen Zertifakt-Store, der unabhaengig von dem des Systems ist.
Ja, ich komme von Debian, Tschuldigung. Für Ubuntu sollte es alternativ so https://wiki.ubuntu.com/CAcert funktionieren.
Die Prozedur schaut ganz interessant aus, aber das ursprüngliche Problem von jolexin (ich mag jetzt selbst nicht von Wundern sprechen) tritt m.E. später auf, wenn er im Zertifikat-Manager von FF die Vertrauenseinstellungen der Zertifikate bearbeiten will. Und jedes Zertifikat bietet ja drei Vertrauens-Abstufungen (jeweils mit true/false), und zwar für E-Mail / Webseiten / Applikationen. Der Haken bei jolexin (ich bin der "Bekannte" aus seinem OP): der "Vertrauen bearbeiten" Dialog hat einen gegrauten "OK"-Button. Meine Version von FF (37.0.2, OS X, leider momentan ohne aktuelle Linux-Installation) zeigt dieses Problem nicht, das scheint also kein grundsätzliches FF-Problem zu sein. Wo reportet man so etwas? Das wäre doch eigentlich ein Bug-Report, oder kann man vorher den maintainer kontaktieren? Andererseits frage ich mich, ob man evtl. auch über about:config auf den Zertifikate-Speicher zugreifen und diese Einstellungen dort vornehmen kann. Was mich aber wundern würde, denn der ist ja im Zweifelsfall extra passwort-geschützt.
|
zarl
Anmeldungsdatum: 4. Mai 2015
Beiträge: 4
|
sebix schrieb: @jolexin
Wie oben schon geschrieben wird der cert store des Systems in /usr/ssl/certs von Firefox nicht beachtet. Er gilt aber fuer die meisten anderen Programme, darunter das System selbst und jedefalls alle Kommandozeilenprogramme, was dir aber jetzt auch nicht weiterhilft. Wenn ich die CaCert-Zertifikate in Firefox importieren moechte, muss ich diese, wie auch im Wiki unter CaCert beschrieben, nur direkt oeffnen und bekomme von Firefox die Frage gestellt, ob ich sie importieren moechte. Ich bin mir nicht sicher, ob du das schon gemacht hast.
Die Zertifikate sind korrekt importiert und im Zertifikate-Manager sichtbar, das habe ich gesehen. Bis dahin ist tatsächlich alles ok. Das Problem ist dieser gegraute "OK"- Knopf. Äh... kann das ein Schreibrechte-Problem sein?
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5348
|
zarl schrieb: dinosaurus schrieb: sebix schrieb: Firefox hat einen eigenen Zertifakt-Store, der unabhaengig von dem des Systems ist.
Ja, ich komme von Debian, Tschuldigung. Für Ubuntu sollte es alternativ so https://wiki.ubuntu.com/CAcert funktionieren.
Die Prozedur schaut ganz interessant aus, aber das ursprüngliche Problem von jolexin (ich mag jetzt selbst nicht von Wundern sprechen) tritt m.E. später auf, wenn er im Zertifikat-Manager von FF die Vertrauenseinstellungen der Zertifikate bearbeiten will. Und jedes Zertifikat bietet ja drei Vertrauens-Abstufungen (jeweils mit true/false), und zwar für E-Mail / Webseiten / Applikationen. Der Haken bei jolexin (ich bin der "Bekannte" aus seinem OP): der "Vertrauen bearbeiten" Dialog hat einen gegrauten "OK"-Button. Meine Version von FF (37.0.2, OS X, leider momentan ohne aktuelle Linux-Installation) zeigt dieses Problem nicht, das scheint also kein grundsätzliches FF-Problem zu sein. Wo reportet man so etwas? Das wäre doch eigentlich ein Bug-Report, oder kann man vorher den maintainer kontaktieren?
Ja, auf Launchpad: https://launchpad.net/firefox
Andererseits frage ich mich, ob man evtl. auch über about:config auf den Zertifikate-Speicher zugreifen und diese Einstellungen dort vornehmen kann. Was mich aber wundern würde, denn der ist ja im Zweifelsfall extra passwort-geschützt.
Warum sollte der Passwort-geschuetzt sein? Mit welchem Passwort? Das sind gewoehnliche Einstellungen. Mit dem Kommandozeilenprogramm certutil (sollte installiert sein) kann man den Zertstore von Mozilla (bzw. NSS, deren Library dafuer) veraendern.
|
zarl
Anmeldungsdatum: 4. Mai 2015
Beiträge: 4
|
sebix schrieb: zarl schrieb:
Der Haken bei jolexin (ich bin der "Bekannte" aus seinem OP): der "Vertrauen bearbeiten" Dialog hat einen gegrauten "OK"-Button. Meine Version von FF (37.0.2, OS X, leider momentan ohne aktuelle Linux-Installation) zeigt dieses Problem nicht, das scheint also kein grundsätzliches FF-Problem zu sein. Wo reportet man so etwas? Das wäre doch eigentlich ein Bug-Report, oder kann man vorher den maintainer kontaktieren?
Ja, auf Launchpad: https://launchpad.net/firefox
Super, Danke!
Andererseits frage ich mich, ob man evtl. auch über about:config auf den Zertifikate-Speicher zugreifen und diese Einstellungen dort vornehmen kann. Was mich aber wundern würde, denn der ist ja im Zweifelsfall extra passwort-geschützt.
Warum sollte der Passwort-geschuetzt sein? Mit welchem Passwort? Das sind gewoehnliche Einstellungen. Mit dem Kommandozeilenprogramm certutil (sollte installiert sein) kann man den Zertstore von Mozilla (bzw. NSS, deren Library dafuer) veraendern.
Danke für den Hinweis auf certutil, das sollte dann jolexin mal verfolgen. Beschreibung ist hier:
https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Reference/NSS_tools_:_certutil Zum Passwort-Schutz: FF kann ja Passwörter speichern (login auf Webseiten, FTP-Server,...), und die Tabelle kann man tatsächlich mit einem Master-Passwort schützen.
Siehe Einstellungen → Sicherheit
Ich habe da diese Kombination:
[ ] Passwörter speichern
[x] Master-Passwort verwenden
Das führt dazu, dass ich nach meinem Master-PW gefragt werde, sobald ich mich an einem Server einem Zertifikat anmelden möchte, aber auch beim Aufruf meines FTP-Add-Ons, in dem einige ftp-Zugangsdaten hinterlegt sind.
|
zarl
Anmeldungsdatum: 4. Mai 2015
Beiträge: 4
|
sebix schrieb: zarl schrieb: der "Vertrauen bearbeiten" Dialog hat einen gegrauten "OK"-Button. Meine Version von FF (37.0.2, OS X, leider momentan ohne aktuelle Linux-Installation) zeigt dieses Problem nicht, das scheint also kein grundsätzliches FF-Problem zu sein. Wo reportet man so etwas? Das wäre doch eigentlich ein Bug-Report, oder kann man vorher den maintainer kontaktieren?
Ja, auf Launchpad: https://launchpad.net/firefox
Ist jetzt hier eingetragen:
https://bugs.launchpad.net/ubuntu/+source/firefox/+bug/1451851
|
jolexin
(Themenstarter)
Anmeldungsdatum: 22. Dezember 2009
Beiträge: 325
Wohnort: München
|
sebix hat gefragt: Wenn ich die CaCert-Zertifikate in Firefox importieren moechte, muss ich diese, wie auch im Wiki unter CaCert beschrieben, nur direkt oeffnen und bekomme von Firefox die Frage gestellt, ob ich sie importieren moechte. Ich bin mir nicht sicher, ob du das schon gemacht hast.
1. Ja, erst nachdem ich vergeblich versucht hatte, die Z. von der CAcert-Seite direkt nach Firefox zu importieren, habe ich die andere Möglichkeit entdeckt, die Z. von der CAcert-Seite mit Rechtsklick, <Ziel speichern unter> herunterzuladen und sie vom Download-Ordner zu importieren. Dass der Import nicht so, wie erwartet funktioniert, ist ja der Gegenstand der bisherigen Diskussion 2. Inzwischen hatte ich vergessen, was geschieht, wenn ich die Z. direkt auf der CAcert-Seite öffne. Also habe ich den Prozess wiederholt. Zu meiner Überraschung sind die beiden Zertifikate erschienen und ich konnte das Vertrauen festlegen /Bilder A bis E2/. Dabei konnte ich den Fehler mit dem <ok>-Button reproduzieren! /Bilder B2 und B4/ Der Button ist jeweils rot, also aktiv, doch wenn ich ihn klicke, geschieht nichts. Ich kann das Vertrauens-Fenster nur mit <abbrechen> schließen. Danach sehe ich die Z. von CAcert zwischen denen von QuoVadis und RSA. /Bild C/ Ich habe dann Firefox geschlossen und wieder geöffnet. Die beiden Z. waren wieder verschwunden! /Bilder F1 bis F2/.
- Bilder
|