verschlüsselte Verbindungen untersuchen

[Majo71]

Nach dem Update von KES 11.0 auf KES 11.1 gibt es vereinzelte Probleme mit der Untersuchung von verschlüsselten Verbindungen. Beim Anzeigen von Webseite im Firefox kommt ein Fehlercode: SEC_ERROR_UNKNOWN_ISSUER. Ein Entfernen und Neuinstallieren von KES und Firefox hat daran nichts geändert. Es wird Firefox 66.0.5 x64 de verwendet. Ich habe nun erstmal die Untersuchung der verschlüsselten Verbindungen deaktiviert, möchte es aber ungern so lassen. Grüße, Mario

[alexcad]

Hallo Mario, ich habe das gerade bei mir getestet, auch mit Firefox 66.05, und konnte keine Fehler feststellen. Kannst du da vielleicht noch mehr Infos liefern? Grüße Alex

[Majo71]

Hallo Alex, ich sehe leider kein Muster, bei den meisten Rechnern funktioniert es problemlos, auch bei mir. Auf dem Problemrechner mit WIndows 10 64 Bit kommt genau seit dem Update bei fast jeder Webseite die Meldung. Eine Neuinstallation von KES und Firefox hat leider nichts verbessert. Grüße, Mario

[alexcad]

Was du versuchen könntest:

1. Öffne Firefox.
2. Gib in die Adressleiste „about:support“ ein.
3. Öffne den „Profilordner“ und schließe Firefox.
4. In diesem Ordner muss die Datei „cert9.db“ umbennant werden, z. B. in "cert9.db.old".
5. Nach einem Firefox-Neustart wird die entsprechende Zertifikatsdatei neu erstellt.

Grüße Alex

[Anguel]

Majo71 In der KIS (B2C) musste man früher immer wieder das Kaspersky-Zertifikat in den Firefox-Zertifikatsspeicher manuell importieren (unter FF-Einstellungen), da es ab und zu "verloren" ging. Hast du geprüft, ob das Zertifikat in den FF-Zertifikatsspeicher (warscheinlich unter AO Kaspersky Lab) drin ist? Habe zugegeben nicht geprüft, wie es bei der KES ist, aber ich vermute da ist die Sache ähnlich.

[alexcad]

Diese Vorgehensweise scheint mir hier nicht erforderlich zu sein. Das Kaspersky Zertifikat ist ein signiertes Root-Zertifikat. Die Bindung auf die ursprüngliche URL wurde zumindest in meinen Tests sauber durchgereicht. Grüße Alex

[Anguel]

Interessant, ich dachte bisher, dass es zwei Wege gäbe, um ein solches Zwischenzertifikat in Firefox einzuschleusen:

1. Man importiert es in den FF-Zertifikatsspeicher
2. Man importiert es in den Windows-Zertifikatsspeicher und modifiziert die FF-Config so, dass der Windows-Zertifikatsspeicher als vertrauenswürdig akzeptiert wird: https://support.umbrella.com/hc/en-us/articles/115000669728-Configuring-Firefox-to-use-the-Windows-Certificate-Store

Bitte klärt mich auf, wie es bei KES funktionieren soll :nerd:

[Ganzfix]

Hallo, wie genau der aktuelle Stand ist weiß ich nicht, aber auf Borns IT- und Windows-Blog https://www.borncity.com/blog/2019/03/26/firefox-importiert-testweise-windows-root-zertifikate-wegen-av-software/ wurde im März berichtet, dass Firefox testweise auch auf den Windows Root-Zertifikate zugreift. Gruß, Nils

[Majo71]

Ich bin leider noch nicht wirklich weitergekommen. Das Löschen der Firefox Zertifikatsdatei hat keine Besserung gebracht. Mit Edge gibt es keine Probleme, allerdings wird mal das Kaspersky Zertifikat angezeigt und mal das originale Zertifikat. Im Firefox ist es auch so, dass mal das Kaspersky Zertifikat verwendet wird und mal nicht. Ein Muster kann ich nicht erkennen. Wenn das Kaspersky Zertifikat verwendet wird, kommt es zur Meldung "Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist.". Das würde ja auf ein fehlendes Zwischenzertifikat hinweisen. Ich weiß aber leider nicht, wie das genau beim KES abläuft. Grüße, Mario

[Majo71]

Das Problem ist nun gelöst Zum einen habe ich pf7027 vom Support installiert und zum anderen habe ich unter about:config den Eintrag security.enterprise_roots.enabled auf True gesetzt. Damit ist es möglich, Zertifikate aus Windows automatisch in den Firefox zu übernehmen. Grüße, Mario