Ich habe hier eine Anfrage von einem XP-Nutzer, der opencaching.de weder mit Chrome, noch mit Firefox oder dem Explorer erreicht (der Computer weigert sich die Seite darzustellen).
Gab es da in den letzen Tagen eine Änderung, die dieses Verhalten bewirkt haben könnte?
Aufruf von opencaching.de unter XP
das ssl-zertifikat ist erneuert worden, aber soweit ich weiss hat sich die ca dabei nicht geaendert...
und fuer ein nicht mehr unterstuetztes betriebssystem (das auch keine updates mehr bekommt), ohne fehlermeldung/screenshot etwas zu analysieren, ist nicht ganz einfach...
bitte den user mal um eine fehlermeldung/screenshot und um die genauen versionen der browser...
und fuer ein nicht mehr unterstuetztes betriebssystem (das auch keine updates mehr bekommt), ohne fehlermeldung/screenshot etwas zu analysieren, ist nicht ganz einfach...
bitte den user mal um eine fehlermeldung/screenshot und um die genauen versionen der browser...
gruss Nils (bohrsty)
Einen Screenshot der Fehlermeldung hat er mir letzte Nacht noch geschickt, woraus ich schließe, dass das Problem mit den Zertifikaten zusammenhängt.
Er hat inzwischen geschrieben, dass er sich mit Mozilla Firefox nun wieder bei OC einloggen kann. Ich vermute, dass seine installierten Browser auch veraltet sind. Da ich seit weiß nicht mehr wann kein Windows mehr verwende, kann ich ihm bzgl. Updatevorschlägen der Browser nicht weiterhelfen. Gibt es da Anleitungen?
Er hat inzwischen geschrieben, dass er sich mit Mozilla Firefox nun wieder bei OC einloggen kann. Ich vermute, dass seine installierten Browser auch veraltet sind. Da ich seit weiß nicht mehr wann kein Windows mehr verwende, kann ich ihm bzgl. Updatevorschlägen der Browser nicht weiterhelfen. Gibt es da Anleitungen?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
following
Kommt er per http://www.opencaching.de rein, oder wird er dann zwangsweise auf https umgeleitet (vgl. [url=http://forum.opencaching.de/http://localhost//viewtopic.php?t=7.msg59702#msg59702]Zwangsumleitung durch STS[/url], [url=http://forum.opencaching.de/http://localhost//viewtopic.php?p=59401#p59401]Zwangsumleitung durch OC-Software[/url])?
Bei mir funktioniert es per https in der Kombination
- Windows XP + Service Pack 3 + KB931125/2014
- Chrome 49 (die letzte Chrome-Version für XP) oder Internet Explorer 8 oder Firefox 3.6.
KB931125 ist ein Root-Zertifikate-Update für XP, kann ich bei Bedarf per Email zusenden.
Bei mir funktioniert es per https in der Kombination
- Windows XP + Service Pack 3 + KB931125/2014
- Chrome 49 (die letzte Chrome-Version für XP) oder Internet Explorer 8 oder Firefox 3.6.
KB931125 ist ein Root-Zertifikate-Update für XP, kann ich bei Bedarf per Email zusenden.
-
following
[quote="following"]
Bei mir funktioniert es per https in der Kombination
[/quote]
Oops, nein, das war http. Per https geht's bei mir unter XP auch nicht mehr, egal mit welchem Browser.
Also der Benutzer sollte http://www.opencaching.de verwenden. Falls er trotzdem auf https landet, muss er die im Browser gespeicherten Informationen für www.opencaching.de löschen, dann sollte es gehen. Bei Firefox geht das z.B. mit Shift+Ctrl+H, Rechtsklick auf eine www.opencaching.de-URL und "Gesamte Website vergessen".
Oder http://www.opencaching.it oder http://www.opencaching.fr verwenden und dort auf deutsche Sprache umschalten.
Bei mir funktioniert es per https in der Kombination
[/quote]
Oops, nein, das war http. Per https geht's bei mir unter XP auch nicht mehr, egal mit welchem Browser.
Also der Benutzer sollte http://www.opencaching.de verwenden. Falls er trotzdem auf https landet, muss er die im Browser gespeicherten Informationen für www.opencaching.de löschen, dann sollte es gehen. Bei Firefox geht das z.B. mit Shift+Ctrl+H, Rechtsklick auf eine www.opencaching.de-URL und "Gesamte Website vergessen".
Oder http://www.opencaching.it oder http://www.opencaching.fr verwenden und dort auf deutsche Sprache umschalten.
die meldung meckert falsche ssl-version oder -cypher an, also kann die browser- windows-kombination nicht mit unseren ssl-einstellungen umgehen...
geaendert hat sich "nur" der key, der ist ab sofort ecc statt rsa... wobei laut https://support.globalsign.com/customer ... patibility eher windows xp der schuldige sein duerfte, denn chrome und firefox koennen ecc ab version 1 bzw. 2, windows kann ecc erst ab vista... da aber firefox ssl/tls selbst macht (mit der nss-bibliothek) muesste es auch mit firefox und ecc auf windows xp funktionieren... chrome nutzt wie der ie die system-bibliotheken fuer ssl/tls, daher werden chrome und ecc auf windows xp nie funktionieren...
geaendert hat sich "nur" der key, der ist ab sofort ecc statt rsa... wobei laut https://support.globalsign.com/customer ... patibility eher windows xp der schuldige sein duerfte, denn chrome und firefox koennen ecc ab version 1 bzw. 2, windows kann ecc erst ab vista... da aber firefox ssl/tls selbst macht (mit der nss-bibliothek) muesste es auch mit firefox und ecc auf windows xp funktionieren... chrome nutzt wie der ie die system-bibliotheken fuer ssl/tls, daher werden chrome und ecc auf windows xp nie funktionieren...
gruss Nils (bohrsty)
-
ClanFamily (Mirco)
- Administrator
- Beiträge: 1412
- Registriert: 03.09.2012, 21:55
Dazu auch eine Anmerkung von mir.
Ich persönliche habe kein Verständnis mehr für den Einsatz von XP.
In unserer Agentur sind dies bereits Ausschlusskriterien.
Nicht das noch jemand mit Netscape kommt.
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
Ich persönliche habe kein Verständnis mehr für den Einsatz von XP.
In unserer Agentur sind dies bereits Ausschlusskriterien.
Nicht das noch jemand mit Netscape kommt.
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
[quote="ClanFamily (Mirco)"]
[...]
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
[/quote]
und das ist bei sicherheitsthemen absolut kontraproduktiv und wird es mit mir nicht geben! wir haben uns fuer tls (https) entschieden und ich werde alles mir moegliche dafuer tun, das auf dem sichersten und aktuellsten stand bleibt! (das ziel ist hier vorgegeben und aktuell erfuellt: https://www.ssllabs.com/ssltest/analyze ... Results=on)
vielleicht noch ein hinweis fuer den "anwender": windows xp ist seit ca. zwei jahren von microsoft (dem hersteller von windows) nicht mehr unterstuetzt (sog. "end of life") und bekommt keine sicherheitsaktualisierungen mehr... damit wird es zu einem bevorzugten angriffsziel fuer leute mit wenig guten, also kriminellen, absichten... jemand der ohne not noch ein solches betriebssystem nutzt schadet allen anderen internetnutzern, denn wenn ein solcher rechner unbemerkt (und das ist bei windows xp zu erwarten) infiziert wird, wird er auch fuer angriffe gegen andere misbraucht (stichwort botnetze)...
[...]
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
[/quote]
und das ist bei sicherheitsthemen absolut kontraproduktiv und wird es mit mir nicht geben! wir haben uns fuer tls (https) entschieden und ich werde alles mir moegliche dafuer tun, das auf dem sichersten und aktuellsten stand bleibt! (das ziel ist hier vorgegeben und aktuell erfuellt: https://www.ssllabs.com/ssltest/analyze ... Results=on)
vielleicht noch ein hinweis fuer den "anwender": windows xp ist seit ca. zwei jahren von microsoft (dem hersteller von windows) nicht mehr unterstuetzt (sog. "end of life") und bekommt keine sicherheitsaktualisierungen mehr... damit wird es zu einem bevorzugten angriffsziel fuer leute mit wenig guten, also kriminellen, absichten... jemand der ohne not noch ein solches betriebssystem nutzt schadet allen anderen internetnutzern, denn wenn ein solcher rechner unbemerkt (und das ist bei windows xp zu erwarten) infiziert wird, wird er auch fuer angriffe gegen andere misbraucht (stichwort botnetze)...
gruss Nils (bohrsty)
[quote="bohrsty"]
[quote="ClanFamily (Mirco)"]
[...]
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
[/quote]
und das ist bei sicherheitsthemen absolut kontraproduktiv und wird es mit mir nicht geben! wir haben uns fuer tls (https) entschieden und ich werde alles mir moegliche dafuer tun, das auf dem sichersten und aktuellsten stand bleibt! (das ziel ist hier vorgegeben und aktuell erfuellt: https://www.ssllabs.com/ssltest/analyze ... Results=on)
[/quote]
Diesen Argumenten stimme ich voll zu und ich wollte zu keiner Zeit fordern, dass wir auf veraltete Systeme Rücksicht nehmen sollen. Doch wenn ich eine Anfrage bekomme, deren Inhalt ist: "ich kann mich bei OC nicht mehr einloggen, habt Ihr da was geändert", so gehe ich dem eben nach und versuche zu helfen, soweit das geht.
Er kann sich inzwischen wieder bei OC einloggen und ich danke für all die Hinweise, die das möglich gemacht haben. Immerhin kann er nun nicht sagen, dass es an OC lag, dass er sein System dafür nicht mehr nutzen kann. Alles weitere liegt in seiner Verantwortung.
[quote="ClanFamily (Mirco)"]
[...]
Es ist einfach nicht machbar, kompatibel bis in die Steinzeit zu bleiben.
[/quote]
und das ist bei sicherheitsthemen absolut kontraproduktiv und wird es mit mir nicht geben! wir haben uns fuer tls (https) entschieden und ich werde alles mir moegliche dafuer tun, das auf dem sichersten und aktuellsten stand bleibt! (das ziel ist hier vorgegeben und aktuell erfuellt: https://www.ssllabs.com/ssltest/analyze ... Results=on)
[/quote]
Diesen Argumenten stimme ich voll zu und ich wollte zu keiner Zeit fordern, dass wir auf veraltete Systeme Rücksicht nehmen sollen. Doch wenn ich eine Anfrage bekomme, deren Inhalt ist: "ich kann mich bei OC nicht mehr einloggen, habt Ihr da was geändert", so gehe ich dem eben nach und versuche zu helfen, soweit das geht.
Er kann sich inzwischen wieder bei OC einloggen und ich danke für all die Hinweise, die das möglich gemacht haben. Immerhin kann er nun nicht sagen, dass es an OC lag, dass er sein System dafür nicht mehr nutzen kann. Alles weitere liegt in seiner Verantwortung.
Kann ich nicht ganz nachvollziehen, OC ist ja keine Bank, da kann man bei den Ciphersuites was entgegenkommender sein (aber SSLv2 und SSLv3 deaktivieren und TLSv1.0 verlangen geht); die Probleme kann man ja bewerten.
Mit den Einstellungen fahre ich ganz gut:
SSLProtocol All -SSLv2 -SSLv3
# Protect from the CRIME attack:
SSLCompression off
SSLCipherSuite kEECDH+aRSA:kEDH+aRSA:!COMPLEMENTOFDEFAULT:!ADH:!AECDH:-MEDIUM:!LOW:!EXPORT:!aNULL:!eNULL:!PSK:!aECDH:!aDSS:!DES:!MD5:ECDHE-RSA-RC4-SHA:RC4-SHA
SSLHonorCipherOrder on
Die erlauben extra noch RC4, was… unschön ist, aber aus Kompatibilitätsgründen oft hilfreich – wobei da auch ohne noch mindestens eine kompatible Cipher drin ist; wer’s partout ohne mag:
SSLCipherSuite kEECDH+aRSA:kEDH+aRSA:!COMPLEMENTOFDEFAULT:!ADH:!AECDH:-MEDIUM:!LOW:!EXPORT:!aNULL:!eNULL:!PSK:!aECDH:!aDSS:!DES:!MD5
Mit den Einstellungen fahre ich ganz gut:
SSLProtocol All -SSLv2 -SSLv3
# Protect from the CRIME attack:
SSLCompression off
SSLCipherSuite kEECDH+aRSA:kEDH+aRSA:!COMPLEMENTOFDEFAULT:!ADH:!AECDH:-MEDIUM:!LOW:!EXPORT:!aNULL:!eNULL:!PSK:!aECDH:!aDSS:!DES:!MD5:ECDHE-RSA-RC4-SHA:RC4-SHA
SSLHonorCipherOrder on
Die erlauben extra noch RC4, was… unschön ist, aber aus Kompatibilitätsgründen oft hilfreich – wobei da auch ohne noch mindestens eine kompatible Cipher drin ist; wer’s partout ohne mag:
SSLCipherSuite kEECDH+aRSA:kEDH+aRSA:!COMPLEMENTOFDEFAULT:!ADH:!AECDH:-MEDIUM:!LOW:!EXPORT:!aNULL:!eNULL:!PSK:!aECDH:!aDSS:!DES:!MD5
[url=http://fish.mirbsd.org/WPtg.htm][img]http://www.mirbsd.org/WPtg.png[/img][/url]
Siehe mein [url=http://www.opencaching.de/viewprofile.php?userid=106521]öffentliches OC-Profil[/url] für Lizensierungsinformationen!
Siehe mein [url=http://www.opencaching.de/viewprofile.php?userid=106521]öffentliches OC-Profil[/url] für Lizensierungsinformationen!