Hi, ich wollte gerade eben die Öffnungszeiten unseres Landratsamtes nachschauen, als mir firefox erzählt, dass unser LRA immer noch ein TLS-Zertifikat von Symantec verwendet - und deshalb die Seite nicht laden wird... Stimmt, da war ja was! - Kurz gegoogelt und festgestellt, dass das schon im August letzten Jahres war. chrome und vivaldi verweigert den Aufruf ebenfalls (mit der Option die Seite unsicher aufzurufen), Opera zeigt mir oben ein grünes Schloss an(!!) und MS Egde bleibt von all dem natürlich völlig unberührt, ich sehe nicht einmal ob http oder https... Deswegen die kurze Frage an Euch webmaster: sollte sowas nicht " _schon längst_ " gefixt sein? Habt Ihr in jüngster Zeit auch mal eine webseite gesichtet die noch ein ungültiges Zertifikat verwendet? Ich frage mich ob das nun die Ausnahme oder die Regel ist? Kritisch finde ich das deswegen, weil ich hauptsächlich mit Opera surfe. Da dieser mir die Verbindung noch als sicher anzeigt, werde ich wohl in Zukunft doch wieder auf den alten Firefox zurück greifen... Was habt Ihr für Erfahrungen gemacht?
Hast Du das Landratsamt deswegen kontaktiert?
Noch nicht - nachdem das schon seit August geändert sein sollte, könnte ich mir vorstellen, dass ich nicht der erste bin "Noch einer der wegen dem sch.. mail..." Ich werde dennoch eine kurze Mail an den webmaster schreiben - kann mir aber trotzdem nicht vorstellen, dass das Thema an ihm (seit August!) vorbei gegangen ist
Dann "eskalier" das und wende Dich an den IT-Sicherheitsbeauftragten Deines Landkreises bzw. der nächst größeren Organisationsform in Deinem Bundesland.
Naja, eskalieren muss man das jetzt nicht, mMn. Da ich nur zufällig mit FF unterwegs war und sonst mit opera surfe, war ich vielmehr sehr überrascht, dass es noch solche Seiten gibt. Meine Frage zielte eher darauf ab, ob noch viele von solchen Zertifikaten in Umlauf sind. Da Opera mir keine Probleme anzeigt, werde ich in nächster Zeit eher wieder zu FF greifen...
Papst Franziskus der I. (Echt jetzt!) schrieb: > Meine Frage zielte eher darauf ab, ob noch viele von solchen > Zertifikaten in Umlauf sind. Ich surfe nur mit FF und in meiner Internet-bubble bin ich in den letzten Monaten auf keine Seite gekommen, bei der ich vor einem Symantec TLS Zertifikat gewarnt wurde. Selbstsignierten Webseiten die noch kein Let's Encrypt verwenden begegne ich da häufiger.
Papst Franziskus der I. (Echt jetzt!) schrieb: > Da Opera mir keine Probleme anzeigt, werde ich in nächster Zeit eher > wieder zu FF greifen... Verständlich dass Opera kein Problem anzeigt. Zertifikate von Symantec wurden ja nicht per sé verboten. Es gibt ja auch keine "Internationale Internet Aufsichtsbehörde" die sowas tut. Also ist das Auswerten eines Zertifikates die Aufgabe von demjenigen, der es "verarbeitet" - also des Browsers. Und auch wenn Mozilla und Google sich in der (fehlenden) Sicherheit dieser Zertifikate einig sind, gibt es für die anderen Browser keine Pflicht ihnen das gleich zu tun... Gleiches gilt natürlich für Microsoft. Die haben sich meines Wissens nach auch nicht an der Symantec-Geschichte beteiligt, solange die Kohle stimmt ist für die ja alles gut....
Nachtrag: Natürlich pflichte ich Dir bei, dass eine webseite mit Symantec-Zertifikat de facto für 80% der Internetnutzer nicht mehr erreichbar ist. Der webmaster sollte hier informiert werden und dann auch nachbessern. Zu Deiner anderen Frage: Ich habe allein dieses Jahr schon sehr viele seiten gefunden, die immer noch Zertifikate von Symantec oder RapidSSL hatten. Hauptsächlich Seiten in FernOst. Die Meldung kann man übrigens auch unter Chrom umgehen "Seite dennoch anzeigen".
Ich hatte im November auch ein Portal mit altem Thawte-Zertifikat gefunden, das überdies zum Kauf eines Produktes genutzt wird. Eine andere Subdomain zeigte ein passendes Wildcard-Zertifikat vom Mai. Die hatten also alles, aber diese Site ein halbes Jahr lang vergessen. Es brauchte 2 Mails und deutlich mehr Wochen, bis das korrigiert war.
:
Bearbeitet durch User
Papst Franziskus der I. (Echt jetzt!) schrieb: > Deswegen die kurze Frage an Euch webmaster: sollte sowas nicht " _schon > längst_ " gefixt sein? Das konnte man schon vor langer Zeit reparieren, und zwar kostenfrei, indem das Zertifikat für den Rest der Laufzeit neu ausgestellt wird. Man wurde auch ein paar mal per Mail daran erinnert.
Papst Franziskus der I. (Echt jetzt!) schrieb: > Kritisch finde ich das deswegen, weil ich hauptsächlich mit Opera surfe. Hochkritisch ist das nicht. Der faktischen Internet-Regierung (aka Google) war irgendwann aufgrund Symantecs Schludereien der Kragen geplatzt. So gab es im Herbst endgültig den Rausschmiss, mit langer Vorankündigung, um Symantec Mores zu lehren. Diese Zertifikate sind genauso so sicher oder unsicher wie vorher.
:
Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.