Firefox 3 und die ssl-Zertifikate
Der nervt etwas, der gute Firefox 3.x! Oder hat nur der Debian-Ableger Iceweasel dieses Verhalten?
Auf meinem Webserver betreibe ich mehrere virtuelle Domains. Der Apache (ohne SNI) kann ja nun mal nur genau ein Zertifikat pro IP-Adresse laden und ausliefern. Mein Zertifikat lautet also auf ‘www.perl-online.com’. Die Domain der Osterfeld-Biker heißt sinnvollerweise ‘www.osterfeld-biker.de/’. Wenn ich jetzt also ‘https://www.osterfeld-biker.de/obblog/’ aufrufe, bekomme ich die linke Fehlermeldung.:
www.osterfeld-biker.de:443 verwendet ein ungültiges Sicherheitszertifikat.
Das Zertifikat gilt nur für <a id=”cert_domain_link” title=”www.perl-online.com”>www.perl-online.com</a>.
(Fehlercode: ssl_error_bad_cert_domain)
Prinzipiell hat Firefox3 ja recht, aber ich will und muss dennoch dort hin!!
Ich kann auch weder in dem Fensterchen, noch nach dem Schließen der Meldung, irgendwie Ausnahme hinzufügen.
Dann gibt es ja auch den Weg (siehe Bild rechts) über ‘Bearbeiten’ | ‘Einstellungen’ | ‘Erweitert’ | Reiter ‘Verschlüsselung’ | ‘Zertifikate anzeigen’ | Reiter ‘Server’ | ‘Ausnahme hinzufügen…’ | ‘Zertifikat herunterladen’ Zertifikate per Hand zu genehmigen. Wenn man hier aber als Adresse ‘https://www.osterfeld-biker.de’ eingibt, kommt man auch nicht weiter und sieht wieder die linke Fehlermeldung. Durch Zufall vergaß ich bei einem der gefühlten hundert Versuche das ’s’ von ‘https’, so dass die Adresse nur ‘http://www.osterfeld-biker.de’ lautete und siehe da es ging. Danach konnte ich auch die https-Seite besuchen.
Na wenn das mal nicht ein geiles Feature ist, auf dass Millionen von Anwendern sehnsüchtig gewartet hatten!! 
Vor allem, wie erklärt man dass den Anwendern. Ich meine nicht das ‘Feature’ (erklären), sondern wie sie es dennoch schaffen, die Seite zu besuchen. Es sind ja nur 10 (in Worten zehn) Klicks, Nach dem 30ten Anrufer werden die Hotline-Leute sicher die richtigen Reihenfolge auswendig wissen.
Nachtrag:
Interessanterweise habe ich dieses Problem auf einem anderen debian-Iceweasel nicht ganz so schlimm. Hier habe ich beim Aufruf der Biker-Seite gleich einen Link um die Ausnahme hinzuzufügen:
Sichere Verbindung fehlgeschlagen
www.osterfeld-biker.de verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil dem Aussteller-Zertifikat nicht vertraut wird.
Das Zertifikat gilt nur für www.perl-online.com.(Fehlercode: sec_error_untrusted_issuer)
* Das könnte ein Problem mit der Konfiguartion des Servers sein, oder jemand will sich als dieser Server ausgeben.
* Wenn Sie mit diesem Server in der Vergangenheit erfolgreich Verbindungen herstellen konnten, ist der Fehler eventuell nur vorübergehend, und Sie können es später nochmals versuchen.
Nachtrag 2:
Da mein CA-Zertifikat nur selbst-signiert ist, musste ich selbstverständlich vorher das CA-Zertifikat (cacert.der) importieren. Dieses ‘Problem’ ist hier nicht gemeint.
Nachtrag:
Gerade habe ich noch einen guten alternativ-Vorschlag gefunden. Sicher gibt es einige Argumente für die neue Vorgehensweise von Firefox 3.x, aber man kann zur Not auch einfach wieder die alte Verhaltensweise von Firefox 2.x benutzen:
about:configSchlagworte:Computer, Internet, Linux, SysAdmin, Uwe
browser.xul.error_pages.expert_bad_cert auf true setzen
browser.ssl_override_behavior auf 2 setzen
