Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Zugriff auf HP-Drucker via Safari: "Diese Verbindung ist nicht privat"

Zugriff auf HP-Drucker via Safari: "Diese Verbindung ist nicht privat"

Tirabo17.05.1811:32
Hallo zusammen,

ich muss dringen eine Druckerkonfiguration ändern, aber seit Neuestem weigert sich Safari auf den Drucker zuzugreifen. Ich bekomme folgende Meldung angezeigt:


Wie bekomme ich Safari dazu, mir diese Seite zu öffnen, damit ich meinen Drucker konfigurieren kann?
-1

Kommentare

sunni17.05.1811:37
Ganz unten steht "Wenn du dir der Risiken bewusst bist, öffne diese Website.". Du wirst dann aufgefordert sein Passwort einzugeben.
+2
Hannes Gnad
Hannes Gnad17.05.1811:43
Der Drucker hat ein ungültiges, abgelaufenes etc. Zertifikat für die https-Verbindung, und neuere Browser-Versionen warnen vor so was. Wie von sunni beschrieben die Ausnahme einrichten...
0
maculi
maculi17.05.1811:45
Da sich das ganze im privaten Netzwerk abspielt ist die Warnung streng genommen auch übertrieben. Bei Webseiten, die übers Internet aufgerufen werden (Bank...) wäre das was anderes, aber bei allem, was lokal steht (Drucker, NAS...) braucht man sich keine übertriebenen Sorgen deswegen machen.

Dennoch, lieber einmal zuviel als einmal zuwenig gefragt.
+1
john
john17.05.1811:59
ich frage mich was länger dauert, bzw mehr aufwand erfordert:

A:
einen screenshot machen, ein forum ansteuern, einen thread eröffnen, text verfassen, bild uploaden, darauf warten, dass dritte involviert werden und antworten, indem sie vorlesen was auf der hinweismeldung steht.

oder B:
die hinweismeldung zuende lesen.
„biete support. kostenlos, kompetent und freundlich. wähle zwei.“
+2
Tirabo17.05.1812:04
Vielen Dank für die Antwort.
Bitte wartet doch erst mal ab, bevor Ihr euch aufregt, ich bin nicht blöd.

Das Problem ist, dass es trotzdem nicht funktioniert.

Wenn ich auf "öffne diese Webseite" drücke, bekomme ich zunächst eine Meldung "soll diese Website wirklich durch eine nicht private Verbindung geöffnet werden?".
Wenn ich nun auf "Website besuchen" drücke, passiert folgendes:

Ein weiteres Fenster öffnet sich und ich muss mein Admin-Passwort eingeben, danach aber erscheint wieder die gleiche Seite und es geht von vorne los: "Diese Verbindung ist nicht privat"

Das Zertifikat wird als gültig angezeigt.
+1
Peter Eckel17.05.1812:06
john
oder B:
die hinweismeldung zuende lesen.
Jein. Prinzipiell hast Du Recht.

Aber genau diese Fehlermeldung ist durchaus eine Rückfrage wert, wenn man nicht unbedingt in der Materie drinsteckt. Das ist eine große dicke fette Alarmmeldung, und wenn Dir das in der freien Wildbahn passiert, dann ist das gnadenlose "ich will aber trotzdem" klicken die dummstmögliche Reaktion.

Insofern bin ich eigentlich ganz froh, wenn jemand nachfragt. Auch wenn die Frage vielleicht in die falsche Richtung geht (nicht "kann da was passieren?", sondern "was mache ich, damit das weggeht und ich weiterarbeiten kann?").

Generell: Wenn dieser Hinweis kommt, ist was faul. Und es ist keine gute Idee, mechanisch auf den "mach nur mal"-Link zu klicken.
„Ceterum censeo librum facierum esse delendum.“
0
maculi
maculi17.05.1812:07
probiers mal mit Firefox: Entweder da passiert das gleiche, dann ist die Druckerwebseite gaga (wie es dann weitergeht klären wir später) oder es klappt damit. Manchmal ist Safari auch einfach nur übertrieben penibel.
+2
Tirabo17.05.1812:09
maculi
probiers mal mit Firefox: Entweder da passiert das gleiche, dann ist die Druckerwebseite gaga (wie es dann weitergeht klären wir später) oder es klappt damit. Manchmal ist Safari auch einfach nur übertrieben penibel.


Mit Firefox klappt es einwandfrei. dort hat Firefox für diese Seite eine Ausnahme angeboten und ich konnte danach dann ohne Probleme die Konfigurationsseite des Druckers öffnen.

Ich habe kein Problem das zukünftig mit Firefox zu machen, wenn Safari das weiter ignoriert.
+1
Tirabo17.05.1812:18
Peter Eckel

Insofern bin ich eigentlich ganz froh, wenn jemand nachfragt. Auch wenn die Frage vielleicht in die falsche Richtung geht (nicht "kann da was passieren?", sondern "was mache ich, damit das weggeht und ich weiterarbeiten kann?").

Generell: Wenn dieser Hinweis kommt, ist was faul. Und es ist keine gute Idee, mechanisch auf den "mach nur mal"-Link zu klicken.

Hallo Peter,

da bin ich ganz bei Dir. Allerdings funktionierte dieser Link zum Druckerserver seit Jahren und das Zertifikat wird mir auch immer noch als gültig angezeigt, daher kann ich nicht nachvollziehen, wieso der Druckerserver laut Safari angeblich nun versucht, "möglicherweise meine persönlichen oder finanziellen Informationen zu stehlen"...

Safari ist ja nicht gerade der auskunftsfreudige und hilfsbereite Browser, sondern eher etwas introvertiert.

Ok, also nun meine Frage:

Kann da was passieren? Ich habe via Firefox nun meinen Drucker trotz Warnmeldung wie gewünscht konfiguriert und die Seite wieder verlassen. Muss ich mir jetzt Sorgen machen?
0
Peter Eckel17.05.1812:29
Tirabo
da bin ich ganz bei Dir. Allerdings funktionierte dieser Link zum Druckerserver seit Jahren und das Zertifikat wird mir auch immer noch als gültig angezeigt, daher kann ich nicht nachvollziehen, wieso der Druckerserver laut Safari angeblich nun versucht, "mein persönlichen oder finanziellen Informationen zu stehlen"...
Technische Erklärung: In den letzten Jahren sind einige Verschlüsselungs- und Signaturverfahren als unsicher erkannt worden. Insbesondere werden Zertifikate, die statt mit SHA256 nur mit SHA1 oder gar MD5 signiert worden sind, vielerorts nicht mehr anerkannt - Safari vertraut auf das Sicherheits-Framework in macOS, und das nimmt seit High Sierra keine SHA1-Zertifikate mehr an.

Firefox nutzt sein eigenes Sicherheits-Framework, und das ist noch liberaler. Wird sich aber auch ändern, diese ganze Thematik ist naturgemäß permanent im Fluß. Es kann also, wie im vorliegenden Fall, sein, daß Firefox ein Zertifikat akzeptiert, das Safari nicht mehr (unkommentiert, Du kannst das ja mit dem untenstehenden Link durchgehen lassen) annimmt.
Tirabo
Kann da was passieren? Ich habe via Firefox nun meinen Drucker trotz Warnmeldung wie gewünscht konfiguriert und die Seite wieder verlassen. Muss ich mir jetzt Sorgen machen?
Bei Deinem Drucker in Deinem LAN mußt Du Dir mit ziemlicher Sicherheit keine Gedanken machen, nein. Deswegen ist es in diesem Fall ja auch problemlos, das Zertifikat abzunicken. Zudem sind die Informationen, die Du bei der Konfiguration mit Deinem Drucker austauscht, vermutlich keine Staatsgeheimnisse

Sowas kommt besonders bei irgendwelchen Devices vor, die teilweise sogar selbstsignierte Zertifikate benutzen oder vollkommen veraltete SSL-Implementierungen, die die moderneren Sicherheitsmechanismen nicht mal unterstützen.

Generell ist eine Zertifikatswarnung aber ein Alarmsignal, und "sonst funktioniert es ja nicht" kein valider Grund, auf OK zu klicken. Wenn das nicht funktioniert, dann gibt es dafür in aller Regel gute Gründe, zum Beispiel ein Kommunikationspartner, der seine Systeme vernachlässigt, oder ein echter Angriff. In beiden Fällen ist Vertrauen nicht unbedingt gerechtfertigt.
„Ceterum censeo librum facierum esse delendum.“
+1
Tirabo17.05.1812:35
Vielen Dank Peter für die erhellende Antwort!

Es handelt sich tatsächlich um ein SHA1-Zertifikat (obwohl weiter unten auch was von SHA256 Fingerabdruck steht)

Ich hätte mir schon gerne gewünscht, wenn Safari so nett gewesen wäre, mir das zu erklären, bevor es einfach etwas blockiert. Was mich wundert, dass Safari zwar eine Ausnahme anbietet, diese aber dann scheinbar sofort kommentarlos wieder verwirft.


Eine Frage zum Verständnis habe ich da noch:

Wer genau vergibt da eigentlich solche Zertifikate? Könnte ich da bei HP einfach "ein neues beantragen" oder läuft das automatisch ab und ist unabänderbar?
0
Peter Eckel17.05.1813:08
Tirabo
Vielen Dank Peter für die erhellende Antwort!

Es handelt sich tatsächlich um ein SHA1-Zertifikat (obwohl weiter unten auch was von SHA256 Fingerabdruck steht)
Müßte ich mir anschauen ... entweder hat die Zertifikatskette zusätzlich zur Root auch ein Zwischenzertifikat (wobei das eine mit SHA1 und das andere mit SHA256) signiert ist, glaube ich aber nicht), oder Du siehst den SHA256-Fingerprint eines der Zertifikate. Ist aber ziemlich egal.
Tirabo
Ich hätte mir schon gerne gewünscht, wenn Safari so nett gewesen wäre, mir das zu erklären, bevor es einfach etwas blockiert.
Das kannst Du Dir ja genauer ansehen: Link "zeige das Zertifikat an". Das blenden sie nicht per Default ein, weil 99% der Leute es eh nicht verstehen und die Gründe für ein mögliches Scheitern genauso vielfältig sind wie der X.509-Standard verquast.
Tirabo
Was mich wundert, dass Safari zwar eine Ausnahme anbietet, diese aber dann scheinbar sofort kommentarlos wieder verwirft.
Der Grund ist meist, daß Du schon mal eine Ausnahme für das Zertifikat eingerichtet hast und noch irgendwas davon in Deiner Keychain ist. Das Phänomen kenne ich in anderem Zusammenhang.
Tirabo
Eine Frage zum Verständnis habe ich da noch:

Wer genau vergibt da eigentlich solche Zertifikate? Könnte ich da bei HP einfach "ein neues beantragen" oder läuft das automatisch ab und ist unabänderbar?
Oje, das ist ein ziemlich großes Faß, das Du da aufgemacht hast

Es gibt da verschiedene Verfahren, wie man an Zertifikate kommen kann. Die auf Webseiten genutzten sind in aller Regel von einer der im System hinterlegten und "vertrauenswürdigen" (der Begriff ist dehnbar) CAs signiert, meist noch mit dem einen oder anderen Zwischenhändler. Die Validierung erfolgt, indem das System die Zertifikatskette rückwärts verfolgt und nachschaut, ob sie bei einer der ihm bekannten CAs als Root enden.

Da so ein Zertifikat aber meist einen Hostnamen enthält (Wildcard-Zertifikate gibt es auch, aber die sind dann wirklich nicht mehr viel wert), muß es spezifisch für einen solchen Hostnamen ausgestellt sein - wenn Du den Namen Deines Druckers im Netz ändertest, würde es nicht mehr gelten. Also arbeiten die meisten Hersteller von Devices wie Druckern etc. mit selbstsignierten Zertifikaten, also welchen, die mit ihrem eigenen privaten Schlüssel unterschrieben sind. Die werden beim Start des Geräte oder bei Konfigurationsänderungen automatisch erzeugt. In Deinem Fall ist der Hostname "hp3c768acb8843.local".

Da liegt auch genau der Haken: HP kann Dir kein anderes Zertifikat ausstellen, weil der Drucker höchstwahrscheinlich bei der Konfiguration sein eigenes ausgestellt hat - mit einer gammeligen SHA1-Signatur. Das wird er natürlich ggf. immer wieder tun.

Zwei mögliche Wege aus dem Problem:

1. Es gibt eine neue Firmware, die das Problem nicht hat. Unwahrscheinlich, da wir hier ja von HP reden und HP mit dem Thema allgemein auf dem Kriegsfuß steht, um es vorsichtig auszudrücken.

2. Es gibt im Drucker eine Möglichkeit, ein eigenes Zertifikat einzuspielen, das man dann halt richtig signiert bzw. signieren läßt. Das könnte durchaus sein, da ich den Drucker aber nicht kenne, kann ich dazu keine definitive Aussage machen.

Ansonsten einfach mal im Schlüsselbund schauen, ob es da ein Zertifikat für den Drucker gibt, das dann einfach löschen und dann nochmal versuchen, die Ausnahme einzutragen.
„Ceterum censeo librum facierum esse delendum.“
+1

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.