Verbindung wird nicht Vertraut (Firefox)

[Simaris]

Ich weiß, das ist ein allzuverbreitetes Problem im Internet.
Ich habe dazu auch schon ca 3h Googlearbeit hinter mir und hoffe einfach jetzt auf einen Fachmann der das entscheidende Quäntchen mehr weiß al im Internet preisgegeben wird.

Problem:
Bei Jeder Seite die https in irgendeiner Form verwendet (auch bronies.de) wird einZertifikatsfehler SEC_ERROR_UNKNOWN_ISSUER angezeigt.

Eckdaten:
Geschäftspc ohne Adminrechte
Antivirus: Trend Micro Security Agent
Win 10
Browser Firefox (darf ich auch benutzen, laut Chef)


Bisher ergriffene Massnahmen:
Browser Neuinstalliert und komplett bereinigt (also Profile etc. gelöscht)
Neues Firefox Profil angelegt
Firefox zertifikat DB gelöscht (cert8.db).
Antivir (Trend Micro Security Agent) beendet (Ich kann es eigentlich nicht beenden, aber ich habe es aus dem Autostart genommen und dann neu gestartet, bitch plz)
Systemzeit synchronisiert.

Bisher leider alles ohne Erfolg.
Das einzige wo geht ist ein anderer Browser (Mircosoft Edge).
Das will ich aber nicht als Lösung aktzeptieren.

Danke, wenn jemand versucht mir zu helfen.

[Meganium]

Andere Firefox-Version versuchen. Da du mit der Neuinstallation bereits einen aktuellen Browser hast, vllt. mal ein paar Versionen downgraden. Denn irgendein Update hat sich auf dem PC ja ereignet, dass du plötzlich einen Zertifikatsfehler bekommst. Vielleicht vertragen sich die aktuellsten Komponenten (Betriebssystem, Antivirenprogramm, Browser, und weitere Dinge) ja einfach auch untereinander nicht.

[Simaris]

Hat leider nichts gebracht.
Hab bis zur 47.0.1 alles ausprobiert, geht bei keinem.

[Ic3w4Tch]

Ich kenne da ein ähnliches Problem, da kann man allerdings eine "Ausnahme hinzufügen" und dann die gewünschtr Seite aufrufen. Das ist aber glaube nicht das Problem, oder?
Darfst du keinen anderen Browser benutzen?
Chrome, Opera?

Von dem was ich auf der FireFox Hilfe Seite gelesen habe könnte ne neuinstallation des antivir helfen. Nur wenn das programm auch die zertifikate checkt. Bei uns macht das allerdings die Fortigate Firewall, ich weis also nicht ob das bei dir auch so ist...

[Conqi]

(20.02.2017)Simaris schrieb:  Antivir (Trend Micro Security Agent) beendet (Ich kann es eigentlich nicht beenden, aber ich habe es aus dem Autostart genommen und dann neu gestartet, bitch plz)

Sicher, dass nix von dem Programm gestartet war oder noch andere Programme rumpfuschen? Ist es möglich sich anzeigen zu lassen von wem das Zertifikat denn nun ausgestellt wurde?

Wenns nen Arbeitsrechner ist, habt ihr da keinen IT Betreuer oder nen Dienstleister, der für sowas bezahlt wird?

[Simaris]

Nun...
Wir sind Quasi die IT Abtreilung.

Wie schon aber gesagt ist der Firefox als Browser nur geduldet, wird von der Firma aber nicht unterstützt.
Anderer Browser den ich benutzen darf is der vorinstallierte Edge. Aber ich krieg von dem Krebs

Ich kann bei einzelnen Seiten ausnahmen hinzufügen... aber mach das mal wnen du am googeln bist und bei jedem verdammten Suchergebnis das Ausnahmezertifikat eitellen musst. Und mein manchen Seiten hilft nichtmal das, wenn sie zb. https strict sind.

Wenn ich mir das Zertifikat anzeigen lasse (von einer beliebigen seite) steht immer unbekannter Aussteller drin.

Ich kann auch nur soweit sagen dass der Antivir nicht in der Taskleiste und auch nicht im Taskmanager zu sehen war nachdem ich ihn aus dem Autostart genommen habe und neugestartet habe.
Somit geh ich davon aus dass der nich mehr an war.

[mowny]

(21.02.2017)Simaris schrieb:  Wenn ich mir das Zertifikat anzeigen lasse (von einer beliebigen seite) steht immer unbekannter Aussteller drin.

Bitte etwas genauer. Wer ist der Aussteller? Wenn da irgendwas von Trend Micro drinsteht, weißte woher das kommt. Kann aber auch sein, daß ihr generell über einen Router, der sich bei SSL-Verbindungen dazwischenklinkt, ins Internet geht. Einfach mal nach dem eingetragenen Ausstellernamen googlen sollte schlau machen.

[Simaris]

Im angezeigten Zertifikat steht "unbekannter Aussteller" ?

[Leon]

Wenn dieses Problem bei jeder HTTPS-Seite auftritt und auch bei einem nicht-modifiziertem Firefox, dann klingt das, als ob da ein Server oder das Antivirenprogramm versucht, als Proxy auch den HTTPS-Inhalt mitzulesen, wobei dann statt dem Original-Zertifikat ein anderes, selbst erstelltes mitgeschickt wird.
Damit das keine Fehler verursacht, muss auf dem jeweiligen PC nachträglich das Root-Zertifikat des Programms/Servers installiert sein, das die Probleme verursacht. Ich vermute, dass das Zertifikat bereits für Edge bzw. Windows allgemein auf dem PC installiert ist, aber nicht in Firefox, welcher eine unabhängige Zertifikatverwaltung hat.

[Simaris]

Hört sich schlüssig an.

Wie kann ich Firefox dann dazu bringen dieses Zertifikat auch zu nutzen?

[Leon]

Du müsstest herausfinden, welches Programm/Server den Fehler konkret verursacht, in dem du schaust, wer der Aussteller ist bzw. welches Root-Zertifikat verwendet wird. Bei Firefox steht das bei "Ausgestellt von" bzw. der Zertifikatshierarchie.
Bei z.B. Bronies.de müsste es im Normalfall etwas mit "COMODO ECC..." sein (und in der untersten Ebene bzw. bei "Ausgestellt für" etwas mit "...cloudflaressl.com".) Bei dir sollte an einer Stelle etwas anderes stehen.

[mowny]

(21.02.2017)Simaris schrieb:  Im angezeigten Zertifikat steht "unbekannter Aussteller" ?

Dann bist Du noch eine Ebene zu hoch. Schau in die Zertifikat-Details.

[Adama]

Teste doch einfach mal ob es mit Edge/ Internet Explorer geht.

Firefox hat eine eigene Zertifikatbasis, wenn eurer UTM/Proxy sich in die HTTPS Verbindung einklingt und das Zertifikat mit der Standard GPO für Zertifikate verteilt wird bekommt das eben nur der Edge/IE, andere müssen halt anders hinzugefügt werden.

Und Edge ist doch gut.

[Conqi]

(22.02.2017)Adama schrieb:  Teste doch einfach mal ob es mit Edge/ Internet Explorer geht.

Geht wie er auch geschrieben hat.

Es kann doch auch gut sein, dass in Firefox nur Unbekannter Aussteller steht. Ich würde daher mal im Edge/IE gucken, was da stehen sollte. Wenn da noch ne Software oder Hardware zwischengrätscht, sollte man das da ja erkennen.

[Adama]

Dann sollte das eindeutig sein, ich würde einfach den Edge nutzen...

[Simaris]

Gut dass ich nicht du bin. :-D

Ich bekomms grad nicht hin auf die schnelle das Zertifikat im Edge anzeigen zu lassen, muss später mal googlen wie das geht, hab leider grad WorkWork zu tun.

Edit.:

Sieht so aus als würde sich ein Firmenzertifikat dazwischenklemmen, Ausstelleradresse liegt jedenfalls von einer Domain der Firma vor. dh. Ich müsste dises Zertifikat finden und FF mitteilen dass er dies überall akzeptieren soll.

Nur wie geht das, ich bin zu doof ums in Google zu finden.

[Adama]

Wenn du ich wärst hättest du das Problem garnicht erst...

Wo ist das Problem den Edge zu nutzen? Schneller und Moderner Browser... Und wenn ihr die "IT Abteilung" seit müsstet ihr ja eigendlich wissen was so in eurem Netzwerk drinne hängt...

[Simaris]

Kleiner Tipp:
IT ist mehr als nur Netzwerk.
Warum ich vom Netzsupport keine Hilfe erwarten kann habe ich auch bereits erwähnt.

Zum Mitschreiben:
Nein, ich will Edge nicht benutzen.
Ja, zur Not gehts, aber zur Not kann ich auch jedes Zertifikat in FF einzeln aktzeptieren... beides unangenehm für mich.
Ich möchte das Problem lösen und ihm nicht aus dem Weg gehen.

Sorry, aber langsam geht das auf die Nerven wenn du ständig mit demselben Vorschlag kommst: Benutz halt Edge.

[Adama]

Das sicherheitsproblem jedes Zertifikat manuell zu akzeptieren siehst du dann aber nicht oder...?

Ich sehe halt dein Problem nicht, wenn die Firma den Firefox nicht in ihre Proxy/UTM Lösung integriert sollte man das halt akzeptieren, wenn du mit dem Edge ineffizienter arbeitest ist das ja nicht dein Problem sondern das deines Arbeitgebers.

[Conqi]

(22.02.2017)Adama schrieb:  Das sicherheitsproblem jedes Zertifikat manuell zu akzeptieren siehst du dann aber nicht oder...?

MitM spielen ist sowieso eine beknackte Idee. Gab neulich noch ne Untersuchung dazu, dass praktisch alle dieser tollen Firewalls/Proxys, die sich in den HTTPS-Verkehr einklinken, die TLS-Sicherheit verschlechtern, weil sie Bugs haben, abgelaufene Zertifikate akzeptieren und veraltete Verschlüsselungen wie RC4 nutzen, die Browser wie Firefox und Chrome schon nicht mehr akzeptieren.