Firefox dazu bringen, HTTPs Zertifikat zu vertrauen?

[SirVaul]

Hallo zusammen,

ich nutze Firefox und ich kriege es einfach nicht hin, dass Firefox dem Zertifikat meiner FritzBox! vertraut.
Ich habe diverse Anleitungen gelesen, und eigentlich liest es sich einfach:

1. FritzBox Zertifikat herunterladen (Internet -> Freigaben -> FritzBox Dienste -> Zertifikat herunterladen)
2. Importieren in Firefox (Einstellungen -> Zertifikate anzeigen -> Zertifizierungsstellen -> Zertifizierungsstellen -> Import -> Haken bei "Dieser CA vertauen, um Websiten zu identifizieren).

Laut diversen Anleitungen sollte das schon reichen, wenn ich allerdings meine FritzBox per https ansurfe, gibt er mir trotzdem folgenden Fehler:

Fehlercode: MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

Der Server verwendet ein Zertifikat mit einer Basiseinschränkungserweiterung, die es als eine Zertifizierungsstelle identifiziert. Für ein korrekt ausgestelltes Zertifikat sollte das nicht der Fall sein.

HTTP Strict Transport Security: false
HTTP Public Key Pinning: false

Der gleiche Fehler kommt auch, wenn ich das Zertifikat nicht importiere - so als hätte der Import gar nicht gegriffen?
Ich kann hingegen das gleiche Zertifikat in meinen Microsoft Zertifikatsstore packen und der neue Chromium Edge hat dann keine Probleme, meine FritzBox per HTTPs anzsurfen und als sicher einzustufen.

Was mache ich falsch?

Ich bedanke mich für eure Hifle.

 

[Sentrax]

Moin

Was mache ich falsch?

Wie die Meldung schon sagt: Du importierst ein Serverzertifikat als CA, willst es aber als Serverzertifikat nutzen.

Server -> Ausnahme hinzufügen

 

[SirVaul]

Guten Morgen @Sentrax ,

erstmal vielen Dank für deine schnelle Antwort ! Leider funktioniert das so noch nicht.

Wenn ich es als Ausnahmeregelung hinzufüge (sprich URL eingebe, Zertifikat herunterladen, Ausnahme bestätigen), dann merkert er an, dass das Zertifikat nicht von einer vertrauenswürdigen CA herausgegeben wurde und sich versucht mit ungültigen Informationen zu identifizieren:



Das Zertifikat wird dann auch nicht unter "Server" gespeichert. Sprich ich kann es mir dort auch nicht ansehen:



Wenn ich dann die Fritz.Box ansurfe, dann wird halt jetzt nicht mehr die Warnungsseite vorgeschaltet, aber die Verbindung wird trotzdem als unsicher eingestuft.




Das scheint so also leider nicht zu funktionieren.

Übersehe ich etwas oder ist self signed bei Firefox einfach nicht möglich?

 

[Chromatin]

MOZILLA_PKIX_ERROR_CA_CERT_USED_AS_END_ENTITY

Du verwendest ein CA Zertifikat als Zertifikat für deine Box, die "End User" ist. Erstelle ein neues Zertifikat und spiele das neu in die Box ein:

SecurityEngineering/x509Certs - MozillaWiki

wiki.mozilla.org

Re-generate the end-entity certificate without the basic constraints extension

 

[SirVaul]

Hallo @Chromatin ,

erstmal vielen Dank für deine Antwort. Über diesen Hinweis bin ich bei meiner Internet Recherche auch gestolpert, allerdings kenne ich mich wenig mit SSL Zertifikaten aus, so dass ich nicht weiß, welche Maßnahmen ich tatsächlich auf welche Weise durchführen müsste.

Die erste Sache ist schon die, dass ich das Zertifikat nicht selbst erstellt habe, sondern die FritzBox! selber ein self-signed SSL Zertifikat generiert das man dann in der FritzBox! UI herunterladen kann. Das habe ich benutzt. Da frag ich mich: Benutzt bei AVM keiner Firefox? Weil das ist exakt die Vorgehensweise, die AVM selbst in seiner Wissensdatenbank zu Firefox beschreibt: https://avm.de/service/fritzbox/fri...at-herunterladen-und-am-Computer-importieren/

Ich habe dann weiter gesucht und bin über einen 10 Jahre alten Thread im Ubuntu Forum gestolpert, wo jemand mit Openssl selber ein Zertifikat erstellt und in der Fritzbox hinterlegt hat.

openssl genrsa -out private.pem 2048
openssl req -new -key private.pem -out request.pem -sha256
openssl req -x509 -new -key private.pem -out certificate.pem -sha256 -days 365
cat private.pem certificate.pem > fritzbox.pem

Das fritzbox.pem habe ich dann in der FritzBox hochgeladen und das Zertifikat entsprechend wie oben beschrieben in Firefox eingebunden. Beim Verbindungsaufbau quittiert mir die FritzBox leider den gleichen Fehler.

Leider bin ich dann etwas ratlos, da ich nach besten Gewissen alles abgegrast habe was ich dazu über Google finden konnte.

 

[Sentrax]

Moin

Das scheint so also leider nicht zu funktionieren.

Doch tut es.

Übersehe ich etwas oder ist self signed bei Firefox einfach nicht möglich?

Du kannst doch ein verschlüsselte Verbindung zu deiner Fritzbox aufbauen.
Wenn Du ein graues oder ein grünes Schloss haben willst, musst Du ein reguläres Zertifikat von einer anerkannten CA in deiner Fritzbox installieren.

Die Frage wäre dann nur: Wozu?
Ist dein heimisches LAN so unsicher, das Du dort mit einem Angriff rechnen musst?

 

[SirVaul]

Guten Morgen @Sentrax,

ich möchte nicht unverschämt sein - ich bin über jede Hilfe wirklich dankbar.

Ich muss dir aber leider widersprechen und meine das wirklich nicht böse. Nein die von dir vorgeschlagene Lösung funktioniert nicht. Meine Frage war ja nicht, wie ich eine HTTPs Verbindung aufbauen kann, sondern wie ich das SSL Zertifikat integrieren kann. Und bei einer Sicherheitsausnahme, wie du sie mir vorgeschlagen hast, wird kein Zertifikat gespeichert, sondern der Browser ignoriert dann einfach die unsichere Verbindung. Dafür muss ich ja auch gar nicht erst in die Einstellungen, "ignorieren" kann ich auch beim ansurfen auswählen.

Klar ist eine sichere HTTPs Verbindung in einem grundsätzlich sicheren Netzwerk vielleicht Overkill. Allerdings ist die Lösung meines Problems eben nicht, dass Problem dann einfach weg zu ignorieren. Und ich sehe auch keinen Sinn darin, warum Firefox mich dazu nötigt, potentielle man-in-the-middle Attacken in Kauf zu nehmen, nur weil mein Zertifikat nicht von einer vertrauenswürdigen CA stammt. Bei allen anderen Browserherstellern funktioniert es, wenn ich das Zertifikat als "vertrauenswürdige Stammverifizierungsstelle" markiere.

Ich suche halt noch nach einer plausiblen Antwort warum Firefox sich da anders verhält als beispielsweise Chrome/IE/Edge-Alt/Edge-Chromium oder eben nach einer Lösung. Hält Firefox sich an irgendeinen Sicherheitsstandard, an denen sich andere nicht halten? Muss man selbst ein Zertifikat mit bestimmten Parametern generieren? Oder ist das einfach ein Bug? Das sind so die Fragen, die mir im Kopf herumschwirren.

 

[SirVaul]

Hab derweil auch den AVM Support kontaktiert und eine Antwort erhalten. Da äußert man sich auch nicht zur eigentlichen Problematik, sondern empfiehlt seinen Kunden die Fritzbox per Internet erreichbar zu machen, damit man Letsencrypt nutzen kann. Ja ne ist klar ^^ ...

Da bleib ich hartnäckig, hätte da gerne eine offizielle Aussage zu.

 

[Sentrax]

Moin

Nein die von dir vorgeschlagene Lösung funktioniert nicht.

... so wie Du es erwartest.
So lange das Schloßsymbol geschlossen ist, hast Du eine verschlüsselte Verbindung.

Meine Frage war ja nicht, wie ich eine HTTPs Verbindung aufbauen kann, sondern wie ich das SSL Zertifikat integrieren kann.

Genau so.

Und bei einer Sicherheitsausnahme, wie du sie mir vorgeschlagen hast, wird kein Zertifikat gespeichert, sondern der Browser ignoriert dann einfach die unsichere Verbindung.

Da irrst Du dich.
Firefox speichert das Zertifikat und merkt es sich. D.h. So lange sich das Zertifikat nicht ändert, bekommst Du die Warnung nicht mehr angezeigt.
Das Sicherheitskonzept dahinter nennt sich: TOFU (Trust on first use)

Es sein denn, Du lässt die Seiteneinstellungen vom Firefox beim beenden löschen.
Dann wird auch das Zertifikat mit gelöscht und Du musst es dann regelmäßig wieder akzeptieren.

- - -

Eine andere Möglichkeit wäre sonst, ein eigenes Zertifikat von einer vertrauenswürdigen CA (z.B. LetsEncrypt) zu installieren.
Oder eine eigene CA erstellen, das CA-Zertifikat im Fx zu importieren und ein eigenes Zertifikat in die FritzBox.