"Diese Verbindung ist nicht sicher" bei Google.de und Youtube.com
-
Hm. Ist es möglich dass Firefox ein anderes Zertifikat bekommt, weil er unterschiedliche Algorithmen unterstützt? Ich muss zugeben dass ich mich nicht SO genau mit SSL/TLS auskenne um das beantworten zu können.
Was ich ausschliessen würde ist dass Chrom auf Grund des User-Agent Strings was anderes bekommt, da dieser ja erst über HTTP übertragen wird, und da ist der TLS Handshake ja schon lange passiert. Und wenn du es auf dem selben Rechner machst, dann fällt mir auch sonst nichts ein was unterschiedliche sein könnte (DNS, Proxy, ... muss ja fast alles gleich sein).
-
Unter Arch Linux ist bei mir im Firefox das Root Zertifikat wie bei dir im Chrome.
Die Root Zertifikate werden auch nicht übertragen, sondern werden vom Browser mitgebracht (sonst wäre kein Vergleich möglich). Vielleicht hat da Ubuntu beim Build Mist gebaut oder die sind bei dir nicht richtig geupdatet worden. Du kannst ja mal in den Zertifikatseinstellungen gucken welches Zertifikat für GeoTrust Global CA drin ist.
-
Ich habe das Problem sowohl mit dem Firefox unter (K)ubuntu, als auch mit dem für Windows.
Die einzige Verbindung die es hier gibt ist, dass es
A) der gleiche Rechner ist
und
beide Firefox Browser per Firefox Sync synchronisiert werden.Die Root Zertifikate werden auch nicht übertragen, sondern werden vom Browser mitgebracht (sonst wäre kein Vergleich möglich). Vielleicht hat da Ubuntu beim Build Mist gebaut oder die sind bei dir nicht richtig geupdatet worden. Du kannst ja mal in den Zertifikatseinstellungen gucken welches Zertifikat für GeoTrust Global CA drin ist.
Es ist seltsam.
Wenn ich direkt bei den Einstellungen unter Zertifikate > Zertifikate anzeige nach dem GeoTrust Global CA Zertifikat schaue und dieses zum Vergleichen Base64 in eine Textdatei exportiere, dann ist es genau das, welches Chrome auch verwendet, also das richtige.
Nur wenn ich youtube.com oder google.com aufrufe, ist das andere Zertifikat am Zug.
Google.de funktioniert übrigens, da gibt es kein Problem.
-
Auf meinem anderen Rechner, auf dem ebenfalls Kubuntu 16.04 installiert ist, ist das Zertifikat in Ordnung. Da gehen auch Youtube.com und Google.com.
-
Ergänzung:
Beim anderen Rechner verwende ich Firefox Sync allerdings nicht.
-
Ist die Firefox-Version evtl. älter?
MfG SideWinder
-
Nein, die Version ist ganz aktuell.
-
Sehr seltsam, jetzt plötzlich, ohne FF neu zu starten, hatte den die ganze Zeit laufen, stimmt der zweite und Dritte Zertifikatsblock.
Also
/GlobalSigne Root CA - R2
und
/GlobalSigne Root CA - R2/Google Internet Authority G3Baum kann man sich so vorstellen:
/3/2/1Der dritte (root) war vorher nicht so wie der von Chrome, jetzt ist er es.
Aber das letzte Zertifikat, also Block 1 ist jetzt verschieden.
Sowohl Youtube.com als auch Google.com hat nun ein anderes Zertifikat:Common Name: *.google.com Subject Alternative Names: *.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com, *.db833953.google.cn, *.g.co, *.gcp.gvt2.com, *.google-analytics.com, *.google.ca, *.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk, *.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co, *.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de, *.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl, *.google.pl, *.google.pt, *.googleadapis.com, *.googleapis.cn, *.googlecommerce.com, *.googlevideo.com, *.gstatic.cn, *.gstatic.com, *.gvt1.com, *.gvt2.com, *.metric.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com, *.youtube.com, *.youtubeeducation.com, *.yt.be, *.ytimg.com, android.clients.google.com, android.com, developer.android.google.cn, developers.android.google.cn, g.co, goo.gl, google-analytics.com, google.com, googlecommerce.com, source.android.google.cn, urchin.com, www.goo.gl, youtu.be, youtube.com, youtubeeducation.com, yt.be Organization: Google Inc Locality: Mountain View State: California Country: US Valid From: January 10, 2018 Valid To: April 4, 2018 Issuer: Google Internet Authority G2, Google Inc Serial Number: 6796767165159799259 (0x5e52f7b9d46379db)Common Name: www.google.com Subject Alternative Names: www.google.com Organization: Google Inc Locality: Mountain View State: California Country: US Valid From: January 10, 2018 Valid To: April 4, 2018 Issuer: Google Internet Authority G2, Google Inc Serial Number: 7328483004236471378 (0x65b40076e2009c52)Ist das normal, das sich Zertifikate stündlich ändern?
Eventuell durch eine Umleitung auf andere Server?Youtube.com und google.com gehen mit diesen neuen Zertifikaten, allerdings sind diese beiden, also /3/2/* eben nicht mit dem von Chrome identisch.
-
Die MD5 Prüfsummen sehen momentan alle so aus.
Ich habe dazu mal zu jeder Datei ein Kommentar gemacht.Die Baumstruktur bei den Zertifikaten in FF ist folgende
/3/2/1bzw.
/cer_3_kurz/cer_2_mittellang/cer_1_langDie Längenangabe steht für die Anzahl der Zeichen, wenn man die Base64 kodierten Dateien öffnet.
ich@comp MINGW64 /zertifikate/cer_1_lang $ md5sum * | sort 145f0a67e14e4ee252c13941f5a3e2a4 *google_com_1_wwwgooglecom.crt // Firefox, gleicher Rechner, neu, Google.com URL 4162d620f3b913db79a12d69eb72c31a *test_chrome1.cer // Chrome, gleicher Rechner 4162d620f3b913db79a12d69eb72c31a *test_ff1.cer // Firefox, gleicher Rechner, alt 9dec3b860a7ca5eee8d552bc92495399 *yt_1.crt // Firefox, gleicher Rechner, neu, Youtube.com URL ich@comp MINGW64 /zertifikate/cer_1_lang $ cd ../cer_2_mittellang/ ich@comp MINGW64 /zertifikate/cer_2_mittellang $ md5sum * | sort 9e06d2099c44f90e837c177b91832f1c *google_com_2_GoogleInternetAuthorityG2.crt // Firefox, gleicher Rechner, neu, Google.com URL 9e06d2099c44f90e837c177b91832f1c *test_chrome2.cer // Chrome, gleicher Rechner 9e06d2099c44f90e837c177b91832f1c *test_ff2.cer // Firefox, gleicher Rechner, alt 9e06d2099c44f90e837c177b91832f1c *yr_2.crt // Firefox, gleicher Rechner, neu, Youtube.com URL ich@comp MINGW64 /zertifikate/cer_2_mittellang $ cd ../cer_3_kurz/ ich@comp MINGW64 /zertifikate/cer_3_kurz $ md5sum * | sort 1dce33180618b6fcfdecc0412544fdf2 *test_ff3.cer // Firefox, gleicher Rechner, alt 895e61409b9dcbc24481cd4184adf27c *GeoTrustGlobalCa_zweitrechner_3_kurz.crt // Firefox, Zweitrechner 895e61409b9dcbc24481cd4184adf27c *google_com_3_GeoTrustGlobalCA.crt // Firefox, gleicher Rechner, neu, Google.com URL 895e61409b9dcbc24481cd4184adf27c *test_chrome3.cer // Chrome, gleicher Rechner 895e61409b9dcbc24481cd4184adf27c *yt_3.crt // Firefox, gleicher Rechner, neu, Youtube.com URL ich@comp MINGW64 /zertifikate/cer_3_kurz $Die Dateien mit "Firefox alt" sind die alten Zertifikate, bei denen Google.com und Youtube.com nicht funktioniert hat.
Alle Chrome Dateien sind von Chrome und haben ungefähr das gleiche Alter.
Die Datei vom Zweitrechner ist etwas jünger.
Und die Dateien mit neu habe ich gerade jetzt erstellt.
-
Ich habe jetzt noch einmal von Chrome die Zertifikate in Dateien abgespeichert.
895e61409b9dcbc24481cd4184adf27c *chrom_neu_google_kurz.cer 895e61409b9dcbc24481cd4184adf27c *chrom_neu_yt_kurz.cer 9dec3b860a7ca5eee8d552bc92495399 *chrom_neu_google_lang.cer 9dec3b860a7ca5eee8d552bc92495399 *chrom_neu_yt_lang.cer 9e06d2099c44f90e837c177b91832f1c *chrom_neu_google_mittellang.cer 9e06d2099c44f90e837c177b91832f1c *chrom_neu_yt_mittellang.cerJetzt sind es überall die gleichen, die ich jetzt auch in Firefox habe.
Meine Hypothese ist jetzt folgende:
Chrome hat gestern noch mit den alten Zertifikaten, die noch funktionierten gearbeitet.
Firefox hat gestern die Zertifikate nur teilweise upgedated, so dass es bis heute Abend nicht funktionierte.
Jetzt hat Firefox alle Zertifikate upgedatet und Chrome hat ebenfalls alle Zertifikate upgedatet.Ich weiß nicht wie das mit den Zertifikaten richtig genau funktioniert, aber das wäre wenigstens eine Erklärung.
