ITrig | Artikel mit Tag ocsp

Artikel mit Tag ocsp

Verwandte Tags

abschalten +1 13 2010 3.0 3306 80 abot:config abstellen absturz add-ons addon adressbereich ändern adsense aktivitäten alarm alerts alternative andere ip ändern android android & co animation anleitung anonyme datenweitergabe anpassen anzeigen apache apache2 apps Aus Outlook telefonieren ausbildung ausblenden auslesen ausschalten auswahlmenü fehlt automatische erkennung beenden beinflussen benchmark newsletter bereinigen beruf beschleunigen bind-address bloat blocken 1 milliarde 1024 17 monate 2019.4 2048 3d spiele 4.0 8bit 8bitme abgleichen acherbahn addition alien dalvik all.vcf änderungen android alternative android firewall Android Sperrbildschirm anpassen android-x86 anonym anwendung aphelion apk apk downloader apk herunterladen app app center appcenter apple apps herunterladen apps installieren apps überwachen audio-videoübertragung zwischen browsern automatisch autorennen avatar awesoem screem aws. lighthttpd --exclude -upk 0xc004e003 1.1 1.8 1.8.0 1.98 10.10 12.04 13.10 14 14.04 15.10 16.04 18.04 2.0 2.10 2.9 2003 2007 2008 2012 2021 3d 3d-grafiken im browser 64bit 777 8 8.x 9.3 9.x about memory absichern ACDSee add-on 0day aktuelle version automatisch erstellen befehl beispiel blogsystem caddy changelog cipher suites ciphers ciphersuites datenbanken deaktivieren debian ubuntu debian6 doku download einrichten einstellungen forensik freies linux generator google chrome hacking haproxy hardening härten how to hsts http connector http strict transport security https https konfiguration andy warhol banane bildbearbeitung code css effekte einfach hexagon lichtenstein linux modern art mozilla netzwerk nginx online tools opensource pop art programmieren quellcode replicator sechseck sicherheit spielerei ssl configurator stil tipps tls generator tools warholizer zitate oracle penetration postfix postgresql server absichern ssl einstellungen tls 1.3 ubuntu vorlage web 14.04 LTS 4.2 4.2.0.13 9.4 abhängigkeiten ermitteln advanced packaging tool aktualisieren aktualisierung verhindern alle ubuntu versionen alsa alte geräte alte kernel entfernen alte linux-headers entfernen alte versionen alter system andere oberfläche anpinnen ansible apt apt-cache apt-get apt-mark apt-rdepends aptitude asterisk asterisk cli atom administrator barman beispiel linux befehl codeschnipsel commandlinefu datenbank sicherung debian die besten linux commandos disaster recovery dstat einrichtung explainshell ifstat installation iostat kommando linuxbefehle beispiele monitor monitoring netstat parallele queries pgadmin4 bios bootable bootbar browser cd date dell dell repository manager download bartpe alternative dvd error erstellen firefox firmware gpt grub 2.0 iso lösung nachladbare module ocsp abschalten programme rettungscd sec_error_ocsp_future_response system rescue cd 3.0.0 treiber uefi update windows windows 7 bootet nicht mehr windows reparieren zeiteinstellungen .NET Framework .NET Framework 4.5.1 "do not track" 10.0.628.0 10.0.648.127 10.63 1080p 12 15.0.874.10 16x16 20 jahre 256 farben 3d grafik 3d shooter 720p 8.0.552.237 9.0.597.47 beta about:cache about:dns about:memory about:plugin active-x adblock addons adobe adressleiste aktivieren aktuell halten alte oberfläche alternatife anschalten arbeitsspeicher archive.org ascii ascii-art certificate has been revoked crl entzogen java java 8 revoke superseded ungültig zertifikatsperrliste zetifikat 2014 6 abmelden account adblock plus 2.0 Addon Alter Facebook Chat anonyme benutzungsstatistiken abschalten audio auf eis legen 11. märz 2011 31c3 4chan a new dawn ablauf der katastrophe aktueller stand akw amerika anleitungen Anonymous arte banksy beiträge blackwater canonical ccc chaos computer club chronik eines desasters citizenfour cyberkrieg cyberwar datenbank datenbank anpassen desktop deutschland developer die anstalt die jagd auf snowden digitale welt dirty wars dok dokumentation edward snowden eigenes tutorial schreiben apt upgrade automatische fehlersuche avidemux 2.6 bitcoin blockchain clean up cryptonote cryptowährung explorer 8 fehler fehler melden fehlfunktion fix it forum fragen gesprächsabbrüche gif erstellen heartbeat iframe intern internet kali linux kostenlos lästig libc6 libcrypt1 microsoft.net framework-reparatur-tool monero 1-klick 120 1500 webseiten 3.13 3d shooter im Browser 3d strategiespiel 6 wochen zyklus 8.0.1 about:config about:trackers abstürze adblock plus add-on manager add-on-bar add-onleiste add-ons synchronisieren add-ons überwachen addonleisten adobe reader adressbereich adresse adult aero aes aktiver account 0.20.0 0xf 1.0.8 1.0.9 1.1.0 10 alternative 10 dinge die nach der installation gemacht werden 2016.1 2018 4.4 4.9 5.0 6.0 8.0 abfragen amass analyse anfänger angriff anleitunng anonsurf app store arc theme arch arch linux arm Audit ausgeben auto auto update automatisierung backbox backbox 6.0 andere platzhalter ascii art generator asciiart bacon ipsum bavaria ipsum berechnen bier ipsum blindtext br2 cat purr cidr cupcake ipsum die 5 besten dummygenerator elijah zapien flat frei hipster hipster ipsum holodeck infografiken ipcalc katzen katzenschnurren konsole 4 jahre anti-tracking-plugin anti-tracking-tool apfel Aussehen autostart befehlt beschreibungen bilder browser. mozilla browserbasiert buster ccleaner for mac 1.01 chat chrome chrome 7 chrome remote Chrome-Theme-Designer chromium collusion disconnect search disconnect.me eigenes Layout content-security-policy online pinning schutz securityheaders.io slllabs sslyze überprüfen webserver xss android studio bearbeiten beibringen beispiele centos dokumente drehen eclipse einsteiger elementary os entwicklung extrahieren flash galileo computing handbuch hilfe howto importieren installieren java ist auch eine insel java keystore verwalten jceks jks keystore keystore explorer keytool konfiguration lernen !bang "zu wenig Speicher vorhanden" 0.3 0.3.1 0.30 0.9 1.0 10 alternativen für den google reader 10 dinge die nach der installation gemacht werden 10 praktische tipps 14.10 17 2.4.0 2.6 2016 21. jahrhundert 3.10 2. versuch 5.3 64 bit adal anmeldung anzeige apt update fehler apt update warning apt-key apt-key is deprecated attached scsi disk ausehen bedeutung beheben blank screen bleibt in der busybox hängen bootet nicht bootloader grub brd build bullseye busybox check_interfaces 2011 about:permissions about:support alcatel app für laufbegeisterte appmaker apt-get install lets-encrypt audit Aurora ausblick beta beta 10 beta 12 beta 4 beta 7 1 Million Webseiten visualisiert 1337 15.2 2013 2017 2022 30c3 8.00 ru2 9.5 abgesicherter modus admins adminstratoren apache top 30 autoconfig bestof clickjacking container devops die besten erweiterungen digital ocean docker docker compose erklärt erweiterungen greenbone security gvm gvm 21.04 hacker 1.01.1 1.10 1.2.48 1.2.50 1.6 1.9 10minmail 1xmail 3d_modelle 3d-modelle 3d-modelle downoaden 3gp 4free a world of tweets abbilden abgerundete ecken und textur abomodell abspeichern abstimmungsverhältnis accounts adblockplus admin panel adminpanel 1.9.1 10.1.1 backbox linux 7 backtrack bash hacking bash skills auswerten auswertung befehle cheatsheet einzelne mails löschen logauswertung mailrelay mailserver mailstatistiken mailverkehr mongodb mta neuerungen aktualisierung best of datenbank verwaltung datenbankanalyse datenbankreport datenbankserver datenbanksystem datenbanksysteme einstieg enterprisedb funktion generieren grundlagen .net framework 1.1.8 2.10.4 2.5 2.5.6 2.6.12 2.7.10 2.7.11 2.7.9 2.8 2015 3.15 4 4.28 4.33 4.5.0 aban abschaltung adblocker add-in

Lösung: Firefox Fehler- sec_error_ocsp_future_response

Geschrieben von Guenny am Sonntag, 27. Oktober 2019

Hin und wieder tauchen im Firefox "komische" Fehlermeldungen beim Aufrufen von Webseiten auf.

Da es durch die Zeitumstellung gerade ganz gut passt, gehe ich heute auf folgende Browser Fehlermeldung ein:

Secure Connection Failed

An error occurred during a connection to xyz.com. The OCSP response is not yet valid (contains a date in the future) Error code: SEC_ERROR_OCSP_FUTURE_RESPONSE

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.


Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit xyz.com aufgetreten. Die OCSP-Antwort ist noch nicht gültig (enthält ein Datum in der Zukunft). (Fehlercode: sec_error_ocsp_future_response)

     Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
     Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Lösung sec_error_ocsp_future_response

Der Browser zeigt diesen Fehler beim Aufrufen einer Seite im Netz an, weil schlicht und einfach das Datum oder die Uhrzeit des Systems nicht stimmen.

Dies lässt sich bekanntermaßen einfach beheben.

Ein Aufrufen und Anpassen der Windows Zeit Einstellungen kann mit Start --> Ausführen --> ms-settings:dateandtime erfolgen.

Unter Ubuntu reicht ein sudo date --set="2019-10-27 19:35:59.990" auf der Konsole aus. Allerdings sollte hier ebenfalls an die BIOS Uhrzeit gedacht werden sudo hwclock --systohc.

Sec-error-ocsp-future-response Helfen die richtigen Systemeinstellungen nicht dauerhaft, kann die BIOS Batterie eine Ursache sein und muss getauscht werden.

Es soll vorkommen, dass Zeiteinstellungen im System nicht angepasst werden dürfen.

Um Webseiten im Firefox dennoch aufrufen zu können, kann das bemängelte OCSP temporär abgeschaltet werden. Doch was ist das eigentlich?

OCSP Stapling

Die Wikipedia schreibt dazu:

Online Certificate Status Protocol stapling, formell bekannt als die TLS-Zertifikatsstatusabfrage-Erweiterung, ist ein alternativer Ansatz zum Online Certificate Status Protocol (OCSP) um den Gültigkeitsstatus von digitalen Zertifikaten nach X.509 zu prüfen.Es ermöglicht dem Zertifizierten, die Aufgabe der Zertifikatsvalidierung zu übernehmen, indem er eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ursprünglichen TLS-Handshake anhängt („stapling“). Dieses Verfahren verringert den Kommunikationsaufwand zwischen Clients und Zertifizierungsstellen deutlich.

OCSP Stapling im Firefox deaktivieren

Der oben erwähnte OCSP Aufruf kann im Firefox deaktiviert werden.

Mozilla Firefox öffnen.
In der Adressleiste about:config eingeben und Enter drücken.
Nach security.ssl.enable_ocsp_stapling suchen.
Den Wert auf false setzen.

Mozilla SSL Configuration Generator - Neue Version unterstützt Postfix, PostgreSQL, MySQL, Oracle und Caddy

Geschrieben von Guenny am Donnerstag, 4. Juli 2019

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update ( thx @ aprilmpls )

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

Apache
Nginx
Lighthttpd
HAProxy
AWS Elastic Load Balancer
Caddy
MySQL
Oracle HTTP Server
Postfix
PostgreSQL

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden.

Mozilla_SSL_Configuration_Generator

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

Mozilla SSL Server Konfigurator - Die richtigen TLS/SSL Einstellungen für Apache, Nginx oder HAProxy automatisch generieren

Geschrieben von Guenny am Montag, 13. April 2015

Die letzten Wochen ging es teilweise um die Analyse von SSL Verbindungen, heute soll es mal wieder um die dazugehörigen Einstellungen gehen.
Ich hatte in der Vergangenheit zwar schon Artikel zu SSL Einstellungen für Nginx, Apache oder Postfix geschrieben. Dennoch will ich mal auf den Mozilla SSL Konfigurations Generator hinweisen.
Das Webtool bietet zusammen mit dem ausführlichen Wiki Artikel über Server Side TLS Security genau die richtige Kombination, um Webserver mit SSL zu konfigurieren.

SSL Einstellungen per Klick erzeugen

Der webbasierte Mozilla SSL Konfigurator unterstützt neben den am weitesten verbreiteten Servern Apache und Nginx auch HA Proxy.
Ich persönlich vermisse eine Option für Postfix, da es sich dabei aber um keinen reinen Webserver handelt, ist das auch nachvollziehbar.

Das Tool stellt neben verschiedenen Server und SSL Varianten drei Auswahlmöglichkeiten in puncto Sicherheit zur Verfügung (modern, intermediate und old).
Praktischerweise wird bei jedem Modus auch die Unterstützung für Browser oder Systeme eingeblendet. So weiß jeder Anwender direkt, ob die enthaltenen CypherSuites für das eigene Projekt nützlich sind oder nicht.
Welche SSLCipherSuites genau in der jeweiligen Einstellung verwendet werden, lässt sich in dem oben erwähnten Mozilla Wiki Artikel nachlesen.

Leider müssen einzelne Server Versionen von Hand eingegeben werden, der Konfigurator erkennt diese aber ohne Probleme.
Wie Stichproben gezeigt haben, nimmt das Tool OCSP Stapling automatisch aus der Config, wenn ein Wechsel von Apache 2.4 zu 2.2 erfolgt. (Diese Funktion wird erst seit 2.3 unterstützt).

Wie der Name des Tools vermuten lässt, wird nur eine Konfiguration generiert, diese muss in die geweilige ".conf" Datei auf einem Server kopiert werden.

Fazit

Nicht nur Administratoren finden mit dem Tool eine praktische Hilfe, wenn es um die Konfiguration von TLS auf einem Server geht.
Auch der Heimanwender, kann sich mit Hilfe des dazugehörigen Wiki Artikel das nötige Wissen zu TLS/SSL aneignen und mit dem SSL Konfigurator schnell und einfach umsetzen.

Lösung Java 8 Fehler - Certificate has been revoked - Zertifikat wurde entzogen

Geschrieben von Guenny am Freitag, 9. Januar 2015

Im April läuft die Unterstützung für Java 7 aus, somit wird es langsam aber sicher Zeit auf Java 8 umzusteigen. Die neue Version 8 bringt bessere Sicherheitsmechanismen mit, welche bei Anwendungen, die auf HTTPS und somit auf Zertifikate setzen zu Fehlern führen können. Einer davon ist die Zurückweisung des Zertifikats:

java.security.cert.CertificateRevokedException: Certificate has been revoked, reason: SUPERSEDED, revocation date: XXXXX CET 2014, authority: CN=TC TrustCenter Class 2 CA II, OU=TC TrustCenter Class 2 CA, O=TC TrustCenter GmbH, C=DE, extension OIDs: [2.5.XX.21]

at com.sun.deploy.security.RevocationChecker.checkApprovedCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.check(Unknown Source)

at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)

at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)

at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)

at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)

at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)

........

Java8-AnwendungzurSicherheitblockiert

Erklärung

CRL

Dabei handelt es sich um eine Zertifikatsperrliste (Certificate Revoke List -->CRL), diese wird von einer Zertifizierungsstelle geführt und enthält die Seriennummer ungültiger Zertifikate. Diese sind mit einem Zeitstempel versehen und einer Signatur geschützt. Voraussetzung für eine Prüfung durch diesen Sicherheitsmechanismus ist eine aktive Internetverbindung.

In diesem Beispiel trat dieser Fehler auf.

OCSP

Ein weiterer Schutz der unter Java 8 aktiv ist nennt sich Online Certificate Status Protocol. Dabei handelt es sich um ein Netzwerkprotokoll, das ebenfalls bei einem CA Dienst (OCSP-Responder) nach der Gültigkeit eines Zertifikats fragt.

Sicherheitsprüfungen für Zertifikate in Java 8 ausschalten

Bei selbst signierten oder anderweitig verwendeten Zertifikaten können diese Prüfungen ausgeschaltet, bzw. eingeschränkt werden. Denn bei einer Test- oder Intranetanwendung ist es nicht immer sinnvoll die Gültigkeit bei einer CA zu überprüfen.

Darum lassen sich in den Java Einstellungen ("Systemsteuerung/Java/Erweitert") CPL und OCSP deaktivieren.

java8-sicherheit

Bei dieser Einstellung wird die Prüfung nicht komplett deaktiviert, sondern auf Zertifikate des Anbieters, also des Softwareherstellers beschränkt. Das heißt, bei selbst signierten Zertifikaten dürfte nun kein Fehler seitens Java angezeigt werden, wenn die gewünschte URL auf der Whitelist ist oder dem eigenen Zertifikat vertraut wird.

Natürlich lassen sich CRL und OCSP auch komplett deaktivieren. Die Einstellungen sind dann wie folgt.

java8-sicherheit-zertifikate

P.S. Im selben Menü könnt im gleichen Zug weiter unten die Protokolle SSL 3.0 und TLS 1.0 deaktivieren.