Ergebnis 1 bis 9 von 9
  1. #1
    Kunde Avatar von Berni66
    Registriert seit
    09.02.2002
    Beiträge
    102

    Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Hallo in die Runde,

    aus Zufall bin ich Heute über einen "Fehler" gestolpert, für den ich einfach keine Lösung finde.
    Der Fehler scheint neu zu sein, denn alle Weiterleitungen haben bisher tadelos funktioniert.

    noch Vorweg: Nachfolgender Fehler wird nur bei Seitenaufruf mit Firefox (58.0.2) ausgegeben.
    Werden die nachfolgenden Subdomains mit Microsoft Edge aufgerufen funktioniert alles wie immer.

    Ich habe für meine Seite barleber-see.de ein SSL Zertifikat und leite über eine htaccess
    alle Aufrufe so um, das immer auf https://barleber-see.de verwiesen wird.

    Zu meinem Projekt gibt es jedoch etliche Subdomains, die ich bislang auch via htaccess
    umgeleitet habe. Die htaccess dieser Subdomains lagen sowohl im Unterordner des o.g. Projektes,
    als auch auf einem Pfad außerhalb der Domain.

    BEIDE Varianten funktionieren aber nun nicht mehr.
    Firefox gibt jetzt aus:
    Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über
    gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
    Ein HSTS Sting ist da aber gar nicht in meiner htaccess drinnen ....
    Code:
    <IfModule mod_rewrite.c>
    
      RewriteEngine On
    
      RewriteBase /
      RewriteCond %{HTTP_HOST} !^barleber-see\.de$ [NC,OR]
      RewriteCond %{HTTPS} =off
      RewriteRule ^(.*)$ https://barleber-see.de/$1 [R=301,L]
    
      RewriteRule ^index\.php$ - [L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.php [L]
    Beispiel 1:
    http://kontakt.barleber-see.de verweist auf eine
    htaccess in einem Ordner >außerhalb< der Hauptdomain:
    Code:
    RewriteEngine On
    RewriteRule (.*) https://barleber-see.de/?Kontakt
    Beispiel 2:
    http://ijbz.barlber-see.de verweist auf einen Ordner
    unterhalb der root der Hauptdomain. In diesem liegt die htacccess
    die die Weiterleitung auf das korrekte Ziel realisiert(e)
    Code:
    RewriteEngine On
    RewriteRule (.*) https://barleber-see.de/?Vereinsarbeit/IJBZ
    Der Aufruf über die Subdomain produziert nun Fehler.
    Der Aufruf über den Ordner in dem die htaccess liegt funktioniert aber: http://barleber-see.de/ijbz

    Wo zum Geier liegt denn hier das Problem?
    Ich habe irgendwo ja gelesen, das sowohl Firefox als wohl (demnächst) auch Chrome
    mit den Zertifikaten restriktiver umgehen sollen.
    Aber wie bekomme ich nun meine Seiten wieder so online das es funktioniert?

    PS: Gerne würde ich natürlich auch die Umleitungen meiner Subdomains
    mit in die htaccess packen die in der root der Domain liegt - allein ich bekomme es nicht hin.

    Für Hilfe und Unterstützung wäre ich Euch dankbar.
    Geändert von Berni66 (10.02.2018 um 20:53 Uhr)

  2. #2
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.239

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    In meinem Firefox (Developer Edition 59.0b8) gibt es keine Fehlermeldung bei Aufruf der Subdomains. Ich habe mir das auch mal mit Charles angeschaut; ein HSTS-Header ist dort nicht zu finden.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  3. #3
    Kunde Avatar von Berni66
    Registriert seit
    09.02.2002
    Beiträge
    102

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Na, da bin ich ja baff!
    Den Cache des Browsers hatte ich ja mehrfach gelöscht.
    Und auch nach dem Neustart des Rechners bekomme ich jetzt immer noch den Fehler.

    Das Tablet, am gleichen Router, stellt die Seiten korrekt dar.

    Dann muss es doch irgendwie an meiner Firefoxinstallation liegen.
    Oder hat noch jemand eine andere Idee.

    Aber danke erst mal für`s probieren.

  4. #4
    Kunde Avatar von Berni66
    Registriert seit
    09.02.2002
    Beiträge
    102

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Ach ja, das steht auch noch auf der "Fehlerseite"

    ijbz.barleber-see.de verwendet ein ungültiges Sicherheitszertifikat.

    Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
    Das Zertifikat gilt nicht für den Namen ijbz.barleber-see.de.

    Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

  5. #5
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.239

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Zitat Zitat von Berni66 Beitrag anzeigen
    Ach ja, das steht auch noch auf der "Fehlerseite"
    Dann hast Du die Subdomains aber nicht wie oben angegeben per HTTP, sondern per HTTPS aufgerufen, oder?

    Die Zertifikatsprüfung findet statt, bevor die .htaccess mit der Umleitung zum Zug kommt. Einen Workaround gibt es daher nicht. Möchtest Du die Zertifikatswarnungen umgehen, musst Du die Subdomains ebenfalls mit Zertifikaten ausstatten. Ab einer gewissen (nicht sehr großen) Menge von Zertifikaten lohnt sich ein Wildcard-Zertifikat.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

  6. #6
    Kunde Avatar von Berni66
    Registriert seit
    09.02.2002
    Beiträge
    102

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Könnte es dann sein, das meine FF Installation irgendwie versucht
    alle Seiten immer erst per HTTPS zu erreichen und wenn es kein Zertifikat gibt dann auf Http umschwenkt?

    Und da es für die Hauptdomain ja ein Zertifikat gibt kommt es zu diesem "Fehler".

    Ich habe in der Adresszeile den Aufruf der Subdomain über http gemacht.

    Im übrigen habe ich den Fehler ja auch wenn ich eine Subdomain aufrufe deren Ziel außerhalb der root der Domain liegt. Also ein komplett anderes Verzeichnis auf dem Server.
    Beispiel: http://test.barleber-see.de

    Irgendwie komme ich da nicht mit
    Geändert von Berni66 (11.02.2018 um 09:56 Uhr)

  7. #7
    Forenexperte Avatar von masterframe
    Registriert seit
    16.08.2001
    Beiträge
    8.182

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Hattest du in der Vergangenheit HSTS? Das speichert dein Browser nämlich und verbindet sich dann nur noch per HTTPS mit der Domain bis der HSTS Zeitraum abgelaufen ist.

    Gruß,
    masterframe

    Alle Rechtschreibfehler hat die Autokorrektur verbrochen.
    Alle Postings erfolgen freiwillig und nach bestem Gewissen. Haftung ausgeschlossen. Keine Rechtsberatung. Beschwerden bitte über unser Kontaktformular. WHOAMI

  8. #8
    Kunde Avatar von Berni66
    Registriert seit
    09.02.2002
    Beiträge
    102

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Zitat Zitat von masterframe Beitrag anzeigen
    Hattest du in der Vergangenheit HSTS? Das speichert dein Browser nämlich und verbindet sich dann nur noch per HTTPS mit der Domain bis der HSTS Zeitraum abgelaufen ist.
    Nein, hatte ich nicht.
    Bis dahin hatte ich den Begriff HSTS noch nicht einmal gehört.

    Aber es scheint wohl wirklich an meiner Firefox-Installation zu liegen.
    FF auf meiner virtuellen Maschine bring den Fehler nämlich nicht,
    und eben habe ich mir mal ein neues FF-Profil angelegt - auch das läuft Fehlerfrei.

    Gut, dann wird es wohl "nur" mein FF-Profil gewesen sein,
    was mit dann Gestern den ganzen Abend "versüßt" hat.

    Danke allen die sich mein Problem mal angesehen haben.

    ** für mich = erledigt **

  9. #9
    Forenexperte² (Reseller) Avatar von Enigma
    Registriert seit
    20.07.2001
    Beiträge
    18.239

    AW: Firefox: Diese Website verwendet HTTP Strict Transport Security (HSTS)

    Zitat Zitat von Berni66 Beitrag anzeigen
    Könnte es dann sein, das meine FF Installation irgendwie versucht
    alle Seiten immer erst per HTTPS zu erreichen und wenn es kein Zertifikat gibt dann auf Http umschwenkt?
    Es gibt Plugins, die das erledigen, z. B. "HTTPS Everywhere" und "HTTPS by default". In einem neuen Profil wäre ein solches Plugin nicht vorhanden. Mit HSTS dürfte das allerdings nichts zu tun haben. Die Zertifikatswarnung trotz vermeintlichem Aufruf einer HTTP-Adresse könnte aber dadurch ausgelöst werden.

    Gruß
    Jan
    Two hours of trial and error can save ten minutes of manual reading.

Ähnliche Themen

  1. HSTS im MHpro
    Von gsdealer im Forum Datensicherheit und Privatsphäre
    Antworten: 18
    Letzter Beitrag: 15.04.2017, 23:21
  2. Nextcloud Strict-Transport-Security und HSTS
    Von hanshuckebein im Forum Scriptsprachen / SQL / Anwendungen
    Antworten: 4
    Letzter Beitrag: 20.03.2017, 12:57
  3. Meldung: Diese Website kann Ihren Computer beschädigen.
    Von marie2000 im Forum Datensicherheit und Privatsphäre
    Antworten: 4
    Letzter Beitrag: 18.12.2014, 14:05
  4. IE zeigt meine Website nicht an! -> Opera/Firefox problemlos
    Von san (Andreas) im Forum Archiv: Einsteiger-Forum
    Antworten: 19
    Letzter Beitrag: 25.01.2005, 23:57

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •