Sicherheitsausnahmeregel nicht nötig - aber Warnfenster bleibt

    Ja, den Punkt hatte ich auch schon im Sinn, hab ihn aber gleich wieder verworfen als nachgelesen hatte, dass das erst zur Version 51 greifen wird.

    Zitat von generalsync

    In jedem Fall wirst du neue Zertifikate von StartCom nicht lange mit Mozilla-basierender Software verwenden können.

    Das ist m.E. nicht korrekt. Ich habe es so verstanden, dass die beiden Herausgeber nicht hart gesperrt werden. Lediglich Ihre Herausgeberzertifikate werden nicht mehr mitgeliefert. Nachinstallieren sollten man sie noch können.

    Zitat von Nanuk

    Allerdings ist das Zertifikat auch für "subject alternative names" ausgestellt und einer davon wird in diesem Fall benutzt.

    Zu diesem Thema hatten wir gerade erst vor einigen Wochen einen ähnlichen Beitrag. Soweit ich mich erinnere bleib der ohne echte Lösung. Da könnte also etwas dran sein.

    Es ist mir schon etwas peinlich....
    Die ganze Geschichte hat eine etwas simple Ursache. Und weil man keine richtigen Fehlermeldungen bekommt, sucht man dann in Ecken, die gar nicht von Belang sind.

    Ursache der Warnmeldung war, dass bei einem Synology-Systemupdate wieder einmal die Filterregel für Port 8443 in der Firewall weggeschmissen wurde (siehe auch
    http://www.synology-forum.de/showthread.htm…V)-verschwunden). Leider meldet CardBook dann nicht "Kann keine Verbindung zum Server bekommen", sondern eben die Geschichte mit dem Zertifikat.

    Kaum hatte ich die Portfreigabe wieder eingerichtet, lief alles wieder normal.

    Was ich daraus gelernt habe? Ich hab die automatische Updatefunktion für DSM jetzt deaktiviert, damit sich das nicht wieder über Nacht ergibt.
    Danke an SusiTux.

    Gruß
    Nanuk

    Erstmal schön, dass das eigentliche Problem gelöst wurde :)

    Zu der StartCom-Sperrung:

    Zitat von SusiTux

    Ich habe es so verstanden, dass die beiden Herausgeber nicht hart gesperrt werden. Lediglich Ihre Herausgeberzertifikate werden nicht mehr mitgeliefert.

    Ich hatte auch sowas erwartet, im verlinkten Artikel wird jedoch beschrieben, dass Mozilla das Vertrauen nur für neue Zertifikate entzieht, dann aber auch für beliebiges Cross-Signing ("The code will use [...] Subject Distinguished Names to identify the root certificates": die Sperre ist hart auf dem Zertifikatsnamen, das Zertifikat selbst bleibt mitsamt Flags – soll aber auch irgendwann entfernt werden). Sollten neue zurückdatierte Zertifikate auftreten, will Mozilla eine sofortige harte Sperrung des Root-Zertifikats auslösen.

  • Community-Bot 3. September 2024 um 20:30

    Hat das Thema geschlossen.