Firefox 36.0 zeigt graues Ausrufezeichen bei SSL/TLS

[Hansi73]

Hallo,

vielleicht hat jemand das gleiche Problem. Seit dem Update von Firefox auf Version 36.0 wird in der Adressleiste bei https-URLs ein graues Ausrufezeichen angezeigt. Das Zertifikat stammt von Geotrust (QuickSSL Premium) gehostet von 1und1.

Linkback: https://www.modified-shop.org/forum/index.php?topic=32356.0

[Dart Shop Frankfurt]

Hallo,

ich habe zur Zeit das selbe Problem und habe bei der Suche dieses gefunden.

https://support.mozilla.org/de/kb/wie-kann-ich-feststellen-ob-meine-verbindung-zu-einer-website-verschluesselt-erfolgt?as=u&utm_source=inproduct

oder hier sofort zu der Info mit dem grauen Warndreieck

https://support.mozilla.org/de/kb/wie-kann-ich-feststellen-ob-meine-verbindung-zu-einer-website-verschluesselt-erfolgt?as=u&utm_source=inproduct#w_graues-warndreieck

Lg Alex

[Bonner]

Sollte man dann sein Shop komplett verschlüsseln oder spricht mehr dagegen?

Bonner

[Ceciro]

Offensichtlich hat Mozilla für den Firefox einige Zertifikatausteller ausgelistet / gesperrt. So werden z.B. seit dem 18.02.2015 keine RapidSSL Zertifikate mehr für verschlüsselte Übertragungen akzeptiert.

Ältere dieses Austellers funktionierten noch bis gestern, werden seitdem aber ebenfalls mit einem "sec_error_untrusted_issuer" quittiert.

Der IE und Crome, sowie Iron und Vivaldi habe keine Probleme das Zertifikat zu verifizieren.

Was das für Shopbetreiber in Deutschland bei dem Marktanteil des Firefox-Browsers bedeutet, wenn Besucher die Meldung im Anhang erhalten, benötigt keinen weiteren Kommentar.

Gruß Cicero

[Meppi]

Ich hab keine Probleme im Firefox. Habt ihr schon die aktuelle SHA-2 Verschlüsselung?

[Hansi73]

Morgen,

das Zertifikat ist neu und entspricht den aktuellen Sicherheitsstandards. Habe festgestellt, wenn ich das dynamisch geladene GeoTrust-Siegel entferne, meckert Firefox nicht mehr.

[ Für Gäste sind keine Dateianhänge sichtbar ]

Code: Javascript  [Auswählen]

<!-- GeoTrust QuickSSL [tm] Smart  Icon tag. Do not edit. -->
<script language="javascript" type="text/javascript" src="//smarticon.geotrust.com/si.js"></script>
<!-- end  GeoTrust Smart Icon tag -->

Keine Ahnung wieso das auf einmal Probleme verursacht.

Edit: Der Fehler scheint bei dem Siegel zu liegen.

[ Für Gäste sind keine Dateianhänge sichtbar ]

Dadurch wird natürlich auch die Hauptseite als teilverschlüsselt dargestellt.

[Matt]

Es liegt am Cipher RC4, das Geotrust auf seinen Server einsetzt. Der hat Schwachstellen und darauf wird seit Firefox 36 hingewiesen durch das Ausrufezeichen. Geotrust ist informiert, ich hab allerdings irgendwie meine Zweifel, dass da schnell was passieren wird...

[Alfred]

Das kann man so nicht pauschal sagen Matt.

Es kann am Zertifikat liegen.
Es kann an dem Server liegen auf dem der Shop lft..

Gruß

[Matt]

Ich weiß, dass man das so pauschal nicht sagen kann, die RC4-Geschichte wurde aber von unserem SSL-Verticker so nochmal verifiziert.

[Alfred]

Die meisten haben aber das Problem nur eben mit FF.
http://googleonlinesecurity.blogspot.com.au/2014/09/gradually-sunsetting-sha-1.html

Gruß

[Hansi73]

Hallo,

GeoTrust hat auf meine Anfrage nach 6h geantwortet.

Vielen Dank für den Hinweis.

Nicht mehr und nicht weniger...

[Matt]

Das hat mit sha1 nur indirekt zu tun. Und die Nicht-Unterstützung von RC4 ist eine der Neuerungen, die FF36 gebracht hat:
http://www.heise.de/ix/meldung/Firefox-36-unterstuetzt-HTTP-2-2559156.html

[Hansi73]

Kurzes Update:

Die Technik bei GeoTrust arbeitet daran den Server entsprechend umzustellen. Hoffentlich dauert das nicht allzulange.

[Hansi73]

Morgen,

GeoTrust hat die Server umgestellt. Firefox zeigt nun auch wieder eine sichere Verbindung an wenn das True Site Seal eingebunden ist.

[peter111]

Das wird vmtl. nur das eigene Gewissen beruhigen 
Kunden, die Bitdefender nutzen werden weiterhin ein graues Schloss mit dem Hinweis darauf, dass es sich um ein Bitdefender Zertifikat handelt, bekommen.
Die Software klinkt sich ungefragt überall ein - auch in SSL!