Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Safari läd keine Seite mit Self-signed SSL Zertifkat

Safari läd keine Seite mit Self-signed SSL Zertifkat

Mr. Fuchs
Mr. Fuchs23.06.1422:52
Möchte ich mit Safari auf eine Seite mit selbst erstelltem SSL-Zertifakt gehen, kommt folgende Fehlermeldung:
In der Konsole finde ich passend dazu folgenden Eintrag:
23.06.14 22:41:30,946 com.apple.WebKit.Networking[1864]: NSURLConnection/CFURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)
Normalerweiße kommt in diesem Fall doch ein Dialog welcher mich fragt ob ich dem Zertifikat vertrauen möchte oder nicht: Wo dieser Dialog bleibt, ist mir ein Rätsel!

Wenn ich mit Firefox die selbe Seite besuche, das Zertifkat herunterlade, in meinen Anmelde Schlüsselbund hinzufüge und als vertrauenswürdig einstufe, funktioniert der Seitenaufbau auch in Safari wieder, nur ist das ziemlich umständlich...

Hat jemand eine Idee, wie ich das wieder hinbiegen kann? Ich bin mit meinem Latein erst mal am Ende...
0

Kommentare

onicon
onicon23.06.1423:36
Was passiert, wenn du https://ccc.de aufrufst?
0
ahuebenett24.06.1400:53
Das Problem ist nicht, dass das Zertifikat selbstsigniert ist, sondern dass es am 13.02.2014 abgelaufen ist. Am besten mal den Server-Admin informieren...
0
sierkb24.06.1402:04
ahuebenett
Das Problem ist nicht, dass das Zertifikat selbstsigniert ist, sondern dass es am 13.02.2014 abgelaufen ist. Am besten mal den Server-Admin informieren...

+1

Firefox sagt zu der Seite bzw. dem Zertifikat:
Firefox
Dieser Verbindung wird nicht vertraut

Sie haben Firefox angewiesen, eine gesicherte Verbindung zu secure.uni-regensburg.de aufzubauen, es kann aber nicht überprüft werden, ob die Verbindung sicher ist.

Wenn Sie normalerweise eine gesicherte Verbindung aufbauen, weist sich die Website mit einer vertrauenswürdigen Identifikation aus, um zu garantieren, dass Sie die richtige Website besuchen. Die Identifikation dieser Website dagegen kann nicht bestätigt werden.

Was sollte ich tun?

Falls Sie für gewöhnlich keine Probleme mit dieser Website haben, könnte dieser Fehler bedeuten, dass jemand die Website fälscht. Sie sollten in dem Fall nicht fortfahren.

[Diese Seite verlassen]

Technische Details

secure.uni-regensburg.de verwendet ein ungültiges Sicherheitszertifikat. Es wurden keine Server-Namen gefunden, für die dieses Zertifikat gültig ist.
Das Zertifikat ist am 13.02.14 17:59 abgelaufen.
Die aktuelle Zeit ist 24.06.14 01:25.

(Fehlercode: ssl_error_bad_cert_domain)

Ich kenne das Risiko

Wenn Sie wissen, warum dieses Problem auftritt, können Sie Firefox anweisen, der Identifikation dieser Website zu vertrauen. Selbst wenn Sie der Website vertrauen, kann dieser Fehler bedeuten, dass jemand Ihre Verbindung manipuliert.

Fügen Sie keine Ausnahme hinzu, außer Sie wissen, dass es einen guten Grund dafür gibt, warum diese Website keine vertrauenswürdige Identifikation verwendet.

[Ausnahmen hinzufügen]


Wie ahuebenett zuvor schon gesagt hat: den zuständigen Admin informieren, dass er das Zertifikat erneuert. Firefox gibt Dir per wahlweise anklickbarer Ausnahmeregelung (Ausnahmen hinzufügen) die Möglichkeit an die Hand, diesem jetzigen abgelaufenen Zertifikat vorübergehend trotzdem zu vertrauen und es einer lokal für diesen Firefox-Nutzer in seinem Firefox-Nutzerprofil geführten Ausnahmeliste zuzuführen (nicht ohne Dich vorher und währenddessen auch nochmal über das Risiko und die möglichen Folgen entsprechend aufgeklärt zu haben), einsehbar und verwaltbar in den Firefox-Einstellungen unter Erweitert Zertifikate Zertifikate anzeigen Server.

Oder Du machst es für den vorübergehenden Einsatz, solange dieses Zertifikat abgelaufen und ungültig so, wie Du bereits gemacht hast: Du exportierst es von Firefox aus und importierst es in Deinen Mac-Schlüsselbund (auf den auch Safari Zugriff hat) und weist ihn dann an, diesem Zertifikat immer zu vertrauen.

Trotzdem würde ich das nur vorübergehend gewähren und nur vorübergehend so lassen, und der eigentlich richtige und notwendige Schritt ist, den betreffenden Admin der Uni-Seite zu informieren und ihn zu bitten, ein neues, gültiges Zertifikat online zu stellen.
0
Mr. Fuchs
Mr. Fuchs24.06.1407:27
Entschuldigung, der Screenshot mit der Uni Regensburg ist nur im Internet "geklaut" das hat nichts mit meinem Zertifikat zu tun, sorry dass das verwirrt hat, wollte nur den Dialog zeigen welchen ich erwartet hätte.

Es ist mein eigener Server, mit meinem eigenen Zertifikat, welches ganz sicher nicht abgelaufen ist... Nur eben von keiner Root CA signiert...
0
onicon
onicon24.06.1413:16
Du hast meine Frage noch nicht beantwortet...
0
Mr. Fuchs
Mr. Fuchs24.06.1413:35
Sorry, ich war unterwegs, habe vom Handy aus geschrieben...

In dem Fall von https://ccc.de erscheint ganz normal der Dialog mit "Zertifikat einblenden, Abrrechen, Fortfahren"...

Jetzt verstehe ich noch weniger
0
MikeMuc24.06.1413:48
Wenn es bei dir mit Safari nicht geht, hast du es schon mit Firefox oder anderen Browsern probiert? Odder mal von einem anderen Benutzer aus getestet.
0
Mr. Fuchs
Mr. Fuchs24.06.1413:55
Sowohl Firefox (wie im Startpost geschrieben) funktioniert als auch der Seitenaufbau mit Safari unter einem anderen Benutzer...

Das Löschen (und damit neu anlegen lassen) von ~/Safari hilft auch nicht...
0
onicon
onicon24.06.1414:02
Es könnten die Trust Settings der Zertifikate in einem Schlüsselbund auf andere Werte als "System Default" gesetzt sein und die Abfrage so unterdrückt werden.
0
Mr. Fuchs
Mr. Fuchs24.06.1414:22
Ich habe nur einige wenige als Vertrauenswürdig markiert, alle anderen stehen auf SystemDefault und sind als "gültig" angezeigt...
0
sierkb24.06.1414:26
Mr. Fuchs
Entschuldigung, der Screenshot mit der Uni Regensburg ist nur im Internet "geklaut" das hat nichts mit meinem Zertifikat zu tun, sorry dass das verwirrt hat, wollte nur den Dialog zeigen welchen ich erwartet hätte.

Na prima! Warum nicht gleich mit offenen Karten gespielt und gesagt, was wirklich Sache ist?
Mr. Fuchs
Jetzt verstehe ich noch weniger

heise (24.02.2005): Vorsicht bei kostenlosen SSL-Zertifikaten

Auch zum SSL-Zertifikat des CCC wird in diesem, schon betagten Artikel was gesagt, offenbar hat er auch jetzt noch seine Gültigkeit bzw. an den Umständen hat sich nichts geändert.

Das SSL-Zertifikat vom CCC ist, wenn man sich das Zertifikat anschaut, ausgestellt und signiert von CAcert Inc. , http://www.CAcert.org, gültig vom 08.04.14 bis 07.04.16.

Die von CAcert ausgestellten Zertifikate gelten gemeinhin als nicht vertrauenswürdig, CAcert ist aufgrund fehlender Transparenz bei verschiedenen Software- und Browser-Herstellern unter denjenigen, die als nicht vertrauenswürdig eingestuft werden und deren Root-Zertifikate deshalb nicht standardmäßiger Bestandteil der betreffenden Web-Browser (Mozilla boykottiert CAcert Root-Zertifikate z.B. schon seit Jahren mangels Transparanz, mangels Vertrauenswürdigkeit) und Betriebssysteme sind bzw. aus diesen sogar verbannt worden sind:

Siehe dazu u.a. auch:

heise (27.03.2014): CAcert reagiert auf Zertifikatsrauswurf
Nach dem Rauswurf ihrer Stammzertifikate aus Debian-Linux zieht CAcert Konsequenzen: Ein interner Audit soll die Community-CA auf einen erneuten Anlauf vorbereiten, von Mozilla als vertrauenswürdige Certificate Authority (CA) anerkannt zu werden.

heise (24.03.2014): Debian (Ubuntu ebenso) verzichtet auf SSL-Root-Zertifikate von CAcert
Die Linux-Distribution Debian hat die SSL-Stammzertifikate von CAcert.org entfernt: Einige Entwickler bemängeln die Sicherheit und die Vertrauenswürdigkeit der Community-Zertifizierungsstelle, andere kritisieren Debians Schritt jedoch.


Wer einem solchen Stammzertifikat (Root-Zertifikat) bzw. einem darauf basierenden Zertifikat also vertraut und es trotzdem in seinen Keyring aufnimmt, der tut dies auf eigenes Risiko. Darauf hingewiesen von den Browsern wird er jedenfalls.
Mr. Fuchs
Es ist mein eigener Server, mit meinem eigenen Zertifikat, welches ganz sicher nicht abgelaufen ist... Nur eben von keiner Root CA signiert...

Und dass beim Zertifikat des CCC bei Dir dieser Dialog aufpoppt, der Dich genau das wie das eben Beschriebene fragt und bei Deinem von Dir selber erstellten Zertifikat hingegen nicht, legt die Vermutung nahe, dass Dein Zertifikat möglicherweise irgendwie fehlerhaft ist bzw. Du da möglicherweise irgendwas falsch gemacht hast dabei. Vielleicht Dein Zertifikat nochmal völlig neu erstellen?

Zudem: benutzt Du evtl. einen Proxy?

Außerdem: wie ist bzgl. des Umgangs mit Zertifikaten Dein Mac-Schlüsselbund (auf den Safari ja zugreift) konfiguriert (Schlüsselbundverwaltung Einstellungen Zertifikate), was hast Du da eingestellt?

Tipp dazu:

heise (25.03.2011): Tipp: Zertifikatüberprüfung in Safari aktivieren
0
Mr. Fuchs
Mr. Fuchs24.06.1414:40
Okay... ich habe es geschafft:
  • Alle Zertifikate aus dem Anmeldungsschlüsselbund exportiert/gesichert
  • Sschlüsselbundverwaltung => Einstellungen =>Meinen Standardschlüsselbund zurücksetzen
  • Neustart
  • Alle Zertifikate wieder importiert
Geht wieder...
Vielen dank all alle die mir geholfen haben!

sierkb: Danke für die Lektüre
0
sierkb24.06.1414:45
Ergänzend:
sierkb
Außerdem: wie ist bzgl. des Umgangs mit Zertifikaten Dein Mac-Schlüsselbund (auf den Safari ja zugreift) konfiguriert (Schlüsselbundverwaltung Einstellungen Zertifikate), was hast Du da eingestellt?

Nur zur kurzen Erklärung, was die Kürzel bedeuten, die Dir da zur Auswahl stehen:
OCSP ist ein Protokoll, mit dem man online die Gültigkeit von Zertifikaten prüfen kann.
CRL sind "Certificate Revocation Lists": das Analogon zu OCSP, aber eben offline. OCSP lässt sich naturgemäß nur nutzen, wenn eine IP-Verbindung existiert. CRLs kann man, so zur Verfügung gestellt, runterladen (bzw. sie können auch per Software-Update bereitgestellt und manuell eingepflegt werden) und jederzeit verwenden. Allerdings sind sie spätestens dann, wenn das betreffende Gültigkeitsdatum abgelaufen ist oder ein neues Zertifikat zur Verfügung steht, veraltet.
0
sierkb24.06.1414:49
Mr. Fuchs:
Okay... ich habe es geschafft

Na Gott sei Dank, dann ist der Tag ja gerettet! Und zumindest hier kommt passend dazu nun auch endlich wieder die Sonne raus (es hat vorhin sehr geschüttet).
0
Mr. Fuchs
Mr. Fuchs24.06.1415:19
Von mir auch noch ein Nachtrag, falls das mal jemand nachmacht:
Nicht nur die Zertifikate exportieren sondern alles was sich unter "Alle Objekte" findet, also auch Passwörter usw., sonst hat man danach eventuell ein echtes Problem...

Woran es wirklich lag, weiß ich jetzt allerdings immer noch nicht... Den Schlüsselbund einfach neu erstellen erscheint mir doch die Brecheisen-Methode zu sein...

Bzgl. Wetter: Bei mir scheint schon den ganzen Tag bei angenehmen 27°C die Sonne
0
jogoto25.06.1407:49
Mr. Fuchs
Woran es wirklich lag, weiß ich jetzt allerdings immer noch nicht... Den Schlüsselbund einfach neu erstellen erscheint mir doch die Brecheisen-Methode zu sein...
Vielleicht hätte es schon gereicht den Schlüsselbund zu reparieren.
0
Mr. Fuchs
Mr. Fuchs25.06.1418:10
Habe ich zuvor ebenfalls versucht, erfolglos.
0
bmc desgin25.06.1422:31
Hattest Du bevor der Schlüsselbund ins Spiel kam, also nach dem du das Zertifikat erstellt hast und in Apache installiert hast auch einen Neustart des Apache gemacht?

Das ist nämlich erforderlich...
„Ask your questions...“
0
Mr. Fuchs
Mr. Fuchs26.06.1412:45
Ja klar, mit Firefox / Chrome konnte ich ja auch ganz normal auf den Server zugreifen...
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.