Wie umgeht man die Warnung "Sichere Verbindung fehlgeschlagen" in Firefox 33

Öffnen Sie Firefox’s about:config

Setzen Sie security.tls.insecure_fallback_hosts = www.domain.com (ersetzen Sie die Domain, mit der Sie das Problem haben)

Laden Sie die Seite neu

Dieses Problem wurde an Mozilla in deren Supportforum gemeldet.

Der Grund dafür ist, dass Firefox 33 vollständig auf die strengere libPKIX umgestellt hat und Sie diese Bibliothek nicht mehr deaktivieren und auf den vorherigen NSS-Code zurückgreifen können.

Siehe verwandten Mozilla blog Beitrag und Fehler:

Bug 975229 - NSS-basierte Zertifikatsverifizierung entfernen

Es scheint, dass sie dieses Verhalten nicht ändern werden.

Wenn Ihr Problem wie meins ist, versuchen Sie auf einer webmin Seite, das Zertifikat von innerhalb von webmin neu zu erstellen. Das hat mir geholfen, die “make security exception” in FF 33.0 zurückzubekommen!

Ich hatte dasselbe Problem mit Webmin und Firefox 33. Als ich mir das SSL-Zertifikat ansah, das Webmin verwendete, stellte ich fest, dass es einen 512-Bit-Schlüssel verwendete! Dies muss die Standardschlüsselgröße gewesen sein, als ich Webmin vor ein paar Jahren installiert habe.

Firefox 33 unterstützt keine Schlüssel mit weniger als 1024 Bit mehr (aus gutem Grund). Siehe Site-Kompatibilität

Sie können dieses Problem von Webmin aus beheben, wenn Sie einen anderen Browser verwenden, mit dem Sie diese Art von Fehler umgehen können, oder wenn Sie SSL in webmin vorübergehend deaktivieren, indem Sie ssl=0 in /etc/webmin/miniserv.conf setzen und webmin mit “/etc/init.d/webmin restart” neu starten. Melden Sie sich einfach an der Webmin-Web-Benutzeroberfläche an und wählen Sie: Webmin -> Webmin Configuration -> SSL Encryption -> Self Signed Certificate. Füllen Sie das Formular aus (oder belassen Sie die Standardeinstellungen) und klicken Sie dann auf die Schaltfläche Create Now. Wenn Sie ssl vorübergehend deaktiviert haben, aktivieren Sie es mit ssl=1 in /etc/webmin/miniserv.conf und starten Sie webmin mit “/etc/init.d/webmin restart” neu. Dadurch wird Ihr selbstsigniertes Zertifikat für Webmin aktualisiert, und Sie können die Seite nun von Firefox 33 aus aufrufen (mit der üblichen Browser-Warnung über eine nicht vertrauenswürdige Verbindung).

Versuchte Anregung von @wisbucky, benötigte aber einen Neustart des Browsers, um den “Sichere Verbindung fehlgeschlagen”-Fehler zu umgehen.

Folgende Schritte wurden ausgeführt -

Öffnen Sie die Konfiguration von Firefox, indem Sie Folgendes in die Adressleiste eingeben -

about:config

Suchen Sie nach security.tls.insecure_fallback_hosts und setzen Sie sie auf

security.tls.insecure_fallback_hosts = _Hostname der fehlerverursachenden Seite

Für Nachrichten über einen schwachen DH-Schlüssel versuchen Sie, die folgenden Einstellungen (in Firefox about:config) umzuschalten:

• security.ssl3.dhe_rsa_aes_128_sha
• security.ssl3. dhe_rsa_aes_256_sha

Dies löste den Fehler “Sichere Verbindung fehlgeschlagen”, den ich sah:

SSL erhielt einen schwachen, kurzlebigen Diffie-Hellman-Schlüssel in der Server Key Exchange-Handshake-Nachricht. (Fehlercode: ssl_error_weak_server_ephemeral_dh_key)

Der anfängliche Selbst-SSL-Schlüssel von webmin beträgt 512 Byte

Lösungen: Verwenden Sie Chrom oder Firefox , loggen Sie sich in webmin ein, in der webmin-Konfiguration ->SSL-Verschlüsselung->Selbstsigniertes Zertifikat

erstellen Sie einen neuen SSL-Schlüssel und ein neues Zertifikat für Ihren Webmin-Server , wählen Sie den RSA-Schlüssel als Standard (2048) und machen Sie sue ‘Neuen Schlüssel sofort verwenden’

dann können Sie über IE auf Webmin zugreifen

Eine weitere mögliche Lösung, die Beachtung verdient: In Ihrem Benutzerprofil about:config wurden möglicherweise einige Einstellungen beschädigt.

Insbesondere wurde hier : security.tls.version.max

In der Diskussion auf der verlinkten Seite wird darauf hingewiesen, dass irgendwie die Einstellung von security.tls.version.max von ihrem ursprünglichen Wert (3) auf den neuen Wert von 1 geändert wurde, und nach dieser Änderung war der Benutzer nicht in der Lage, eine Verbindung zu bestimmten Websites herzustellen, die die neuere Transportschicht-Sicherheit benötigten.

Eine einfache Möglichkeit, zu überprüfen, ob dies geschieht, ohne zuerst mit about:config herumzuspielen, besteht darin, zu versuchen, ein neues Profil zu erstellen, indem Sie firefox -P ausführen und dann ein neues Profil erstellen, um zu sehen, ob Sie die Site erfolgreich besuchen können.