Problem: Es besteht ein Problem mit dem Sicherheitszertifikat der Website

[GS6857]

In letzter Zeit bekomme ich beim Aufruf des Forums immer wieder die Meldung "Es besteht ein Problem mit dem Sicherheitszertifikat der Website", wenn ich auf "Fortsetzen (nicht empfohlen)" klicke komme ich ganz normal auf die gewünschte Seite. Die Meldung erschein sowohl beim IE als auch im Android Browser.
Ein System bei welchen Seiten das auftritt konnte ich nicht nachvollziehen.
Woran liegt´s?

[Wattman]

Mit meinem FF unter W7 hatte ich dieses Problem nie.

Aber wahrscheinlich gehören nur die im Browser hinterlegten Zertifikate aktualisiert.

[E2]

Weder Win7/IE8 (Arbeitsplatzrechner noch WinXP/FF 14 produziert bei mir das Problem.

[haidi]

Ganz einfach:

http://www.tramwayforum.at produziert diesen Fehler nicht, während
https://www.tramwayforum.at klarerweise diesen Fehler produziert. Ich glaube nicht, dass das Forum ein Sicherheitszertifikat hat und denke, dass der Zugriff auf das Forum mit einer sicheren Verbindung etwas übertrieben ist.

Hannes

[tram]

Das ist klar, wir haben natürlich kein SSL-Zertifikat, das von einer Zertifizierungsagentur zertifiziert wurde – Self-signed-Zertifikate werde prinzipiell vom Browser als untrusted angezeigt. Nichtsdestotrotz: Einfach Zertifikat als vertrauenswürdig markieren und die Meldung sollte nicht mehr auftauchen – wir sind doch vertrauenswürdig.

Oder einfach nicht SSL für's Forum benutzen, natürlich findet dann die Datenübertragung nicht verschlüsselt statt und ist theoretisch für einen Man-in-the-middle-Attack anfällig.

[GS6857]

Ganz einfach:

http://www.tramwayforum.at produziert diesen Fehler nicht, während
https://www.tramwayforum.at klarerweise diesen Fehler produziert. Ich glaube nicht, dass das Forum ein Sicherheitszertifikat hat und denke, dass der Zugriff auf das Forum mit einer sicheren Verbindung etwas übertrieben ist.

Hannes

Aha, jetzt ist es klar warum die Fehlermeldung kommt.

ABER: Ich bekomme Mailbenachrichtigungen, wo der Link zum Thema mit https beginnt! - nicht alle, aber heute z. B. beim Thema "Wagramer Straße" und "Linie 25 neu".

[Conducteur]

Oder einfach nicht SSL für's Forum benutzen, natürlich findet dann die Datenübertragung nicht verschlüsselt statt und ist theoretisch für einen Man-in-the-middle-Attack anfällig.

Der wird bei so einer Attacke sicher an höchst geheime Informationen herankommen.     

Hinweis für jemanden, der so eine Attacke plant: Eine Minute später im Forum nachschauen. Dort steht dann alles und kann von jederman eingesehen werden. Aber bitte diese Information niemandem weitersagen. Pst!

In letzter Zeit bekomme ich beim Aufruf des Forums immer wieder die Meldung "Es besteht ein Problem mit dem Sicherheitszertifikat der Website", wenn ich auf "Fortsetzen (nicht empfohlen)" klicke komme ich ganz normal auf die gewünschte Seite. Die Meldung erschein sowohl beim IE als auch im Android Browser.
Ein System bei welchen Seiten das auftritt konnte ich nicht nachvollziehen.
Woran liegt´s?

Vergiß das "nicht empfohlen", wenn Du dem Kommunikationspartner (hier Tramwayforum) vertraust. Die Meldung sagt nur aus, daß Dein Browser den Kommunikationspartner nicht identifizieren kann, daß Du also keine elektronische Unterstützung bei der Identifikation dieser Seite durch den Browser bekommst und Du für die Identifikation selbst verantwortlich bist. Das ist heute gängiger, internationaler Standard, der von jeder guten, zeitgemäßen Kommunikationsanwendung  unterstützt wird, sobald Du über eine sichere Verbindung gehen willst. Wenn Du Sicherheit verlangst (z.B. https), sollte es eigentlich selbstverständlich sein, daß Dir Sicherheitslücken signalisiert werden, wie eben jene, daß der Kommunikationspartner nicht identifizeirt werden kann.

Bei der Erkennung und Identifikation des Kommunikationspartners gibt es eigentlich prinzipiell nur zwei Lösungen:
1) Du identifizierst den Kommunikationspartner und signalisierst Deinem Browser, daß Du dem Kommunikaitonspartner  vertraust (indem Du die Nachricht akzeptierst), oder
2) Du schaltest eine dritte Stelle ein, der Du vertraust (Vertrauensperson, Trust Center), und die dann die Identifikation für Dich übernimmt.

Die "Erkennung" (Identifikation, Authentifikation) im elektronischen Bereich erfolgt heute mit elektronischen Fingerprints (Hashes, Zertifikate) auf Basis kryptographischer Methoden. Wenn Du in einer Anwendung wie z.B. im Browser die genannte Nachricht akzeptierst, legt Dein Browser die Information über Deinen Kommunikationspartner, d.h. seinen kryptographisch bearbeiteten Fingerprint, in einer internen Liste ab, in der er die von Dir freigegebenen Kommunikationspartner speichert.

[Linie 41]

Der wird bei so einer Attacke sicher an höchst geheime Informationen herankommen.     

Naja, wenn Du das gleiche Paßwort für alles verwendest, dann schon.

[darkweasel]

Oder einfach nicht SSL für's Forum benutzen, natürlich findet dann die Datenübertragung nicht verschlüsselt statt und ist theoretisch für einen Man-in-the-middle-Attack anfällig.

Der wird bei so einer Attacke sicher an höchst geheime Informationen herankommen.     

Hinweis für jemanden, der so eine Attacke plant: Eine Minute später im Forum nachschauen. Dort steht dann alles und kann von jederman eingesehen werden. Aber bitte diese Information niemandem weitersagen. Pst!

Ganz so ist es auch wieder nicht, man könnte ja an Passwörter oder PMs kommen.

edit: oder an Postings in internen Bereichen, die nur Admins und Mods sehen ...

[Linie 41]

Ganz so ist es auch wieder nicht, man könnte ja an Passwörter oder PMs kommen.

edit: oder an Postings in internen Bereichen, die nur Admins und Mods sehen ...

Dazu mußt Du aber auch einen Admin-Account attackieren. Aber was soll's, bei manchen Admins kann man sich das sogar sparen, die stellen ja ihre Interna gleich online.

[Conducteur]

Mir ist schon bewußt, daß man auch im Tramwayforum ev. schützenswerte Information mitschickt, die jemand unterwegs ausspähen könnte. Nur, wer sein Kennwort für seinen eBanking-Account auch im Tramwayforum verwendet, ist selber Schuld. Das ist eher eine Frage des richtigen Umgangs mit Kennwörtern, und daraus leitet sich dann vielleicht ab, daß man über https gehen möchte. Wobei man aber auch bedenken sollte, daß jede Sicherheitsfrage eine Frage des Verhältnisses von Aufwand, Nutzen und Folgen ist. Wenn jemand einen so hohen Wert darin erblickt, an bestimmte Daten herankommen zu wollen, wird er Wege finden, an diese heranzukommen.

[HLS]

Ich habe die Information erhalten das viele User einer FB-Gruppe bei allen möglichen Servern diese Fehlermeldung bekommen.

M.D. Ich bekomme auch einen Warnhinweis:
Sie haben versucht, auf www.tramwayforum.at zuzugreifen, der Server hat sich jedoch mit einem Zertifikat ausgewiesen, das von einer Entität ausgestellt wurde, der das Betriebssystem des Computers nicht vertraut. Dies bedeutet möglicherweise, dass der Server seine eigenen Sicherheitsinformationen erzeugt hat, auf die Google Chrome als Identitätsinformation nicht vertrauen kann, oder dass ein Hacker versucht, Ihre Kommunikation abzufangen.
Fahren Sie nicht fort, insbesondere wenn diese Warnung für diese Website vorher noch nie erschienen ist.

[95B]

Das passiert, wenn man statt http://www.tramwayforum.at irrtümlich https://www.tramwayforum.at aufruft.

[HLS]

Das passiert, wenn man statt http://www.tramwayforum.at irrtümlich https://www.tramwayforum.at aufruft.

Angeblich passiert es auch wenn man nur www.tramwayforum.at schreibt. 

[13er]

Ja, die Seite hat nur ein self-signed Zertifikat. Man muss wohl einfach darauf vertrauen, dass man im richtigen Tramwayforum ist Die Meldung kann man einfach ignorieren oder wenn einen das schmerzt, dann einfach nicht über https, sondern nur http reingehen.

@HLS: Nur, wenn der Browser so konfiguriert ist, dass er immer zuerst https ergänzt, wenn man eine URL ohne ihr Protokoll angibt. Normalerweise wird immer http zuerst probiert.