Firefox kann nicht auf Microsoft.com zugreifen … (12. Dez. 2021)

Mozilla[English]Firefox-Nutzer scheinen momentan wohl Probleme mit dem Zugriff auf Microsoft-Webseiten zu haben. Ein Blog-Leser hatte mich die Tage bereits kontaktiert. Nun lese ich weitere Berichtet im Internet, dass dies kein Einzelfall ist, sondern wohl mehr Anwender trifft.


Anzeige

Ein erste Meldung

Bereits am 12.12.2021 meldete sich Blog-Leser Roland M. per Mail und beklagte sich, dass er Probleme mit dem Firefox-Browser und Microsoft-Webseiten habe. Hier seine Mail:

Hallo Günter

Ich wollte vorhin mit Nightly auf mein Microsoft-Konto zugreifen. Geht nicht, es kommt folgende Fehlermeldung:

«Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit account.microsoft.com trat ein Fehler auf. Die OCSP-Antwort enthält keinen Status für das zu prüfende Zertifikat.

Fehlercode: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.

Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.»

Mit Firefox geht es auch nicht.

Aber ooooooh Wunder! Mit Edge geht es.

Da ich nicht vom IT-Fach bin, gehe ich davon aus, dass gemäss der Fehlermeldung Microsoft Firefox und Nightly blockiert für die Anmeldung im MS-Konto.

Mit Seamonkey geht es auch nicht, hat dieselbe Engine wie Firefox und Nightly

Mit dem Brave-Browser auf Chromium-Basis geht es.

Ich habe dann meinen Firefox portable hier unter Windows 7 gestartet und meine Microsoft-Konten für OneDrive etc. kurz geprüft. Da klappte alles und ich konnte den Fehler nicht verifizieren. War aber mein Fehler, da die getesteten Domains nicht betroffen sind. Ich vermutete irgend eine Sicherheitslösung als Störenfried und habe das nicht weiter verfolgt. Roland meldete sich einen Tag später, dass sich der Fehler bei ihm plötzlich aufgelöst habe, es funktioniere wieder.

Firefox-Fehler MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING bei microsoft.com

Ich habe es nun im Nachgang nochmals mit microsoft.com versucht und bekam sofort die obige Fehlermeldung. Da liegt also was Arges im Busch. Roland schrieb mir gerade: "Manchmal geht es! Echt schräg! Man muss einfach ein paar mal auf «nochmals versuchen» klicken.".


Anzeige

Benutzereinträge in Microsoft Q&A

Gerade bin dann über den Fehlercode MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING auf den aktuellen Benutzereintrag Problem with Secure Connection bei Microsoft Q&A gestoßen. Dort hat ein Nutzer folgendes gepostet:

Problem with Secure Connection

Hi
Using Firefox and am getting a lot of the error messages shown below. Sometimes it seems to last about 15 min and then I will get one session OK.
========================================
Secure Connection Failed

An error occurred during a connection to docs.microsoft.com. The OCSP response does not include a status for the certificate being verified.

Error code: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING

1. The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.

2. Please contact the web site owners to inform them of this problem.

Die Probleme werden von weiteren Nutzern bestätigt. Mit dem Online Certificate Status Protocol (OCSP) können Browser und andere clientseitige Anwendungen prüfen, ob ein SSL-Zertifikat widerrufen wurde, anstatt sich auf herkömmliche Sperrlisten zu verlassen. Da scheint wohl was im Argen zu liegen, das angeforderte Zertifikat existiert wohl nicht.

Ich bin auf das Thema erneut aufmerksam geworden, weil die Kollegen von Bleeping Computer den Fehler beim Validieren von SSL-Zertifikaten beim Zugriff auf Microsoft-Seiten verifizieren konnten und bestätigen, dass der Firefox Probleme beim Zugriff auf microsoft.com habe. Die Kollegen schreiben, dass es mit dem Konzept des OCSP stapling zusammen hänge.

Weiterhin schreiben die Leute, dass das Problem möglicherweise mit einem 8 Jahre alter Bug in Firefox oder einer fehlenden Funktion für dieses Problem verursacht werde. Denn der Firefox erkennt noch keine SHA-2-Hashes (wie SHA-256), in den CertID-Feldern. Die in den empfangenen OCSP-Antworten enthaltenen Werte sind aber mit SHA-256 gehashed. Daher werde jedes Zertifikat, das SHA-256-Hashes enthält, im Gegensatz zu den älteren SHA-1-Hashes, als ungültig angesehen und veranlasst Firefox, die Verbindung mit der Website zu beenden.

Bleeping Computer gibt Betroffenen den Ratschlag, als schnellen schneller Workaround das OCSP Stapling in Firefox vorübergehend zu deaktivieren, um die Verbindungsprobleme zu beheben. Hierzu müssen Firefox-Benutzer about:config in ihre Adressleiste eingeben und die Eingabetaste drücken. Dann ist die Schaltfläche "Risiko akzeptieren und fortfahren" zu bestätigen. Anschließend sind folgende Optionen:

  • security.ssl.enable_ocsp_must_staple
  • security.ssl.enable_ocsp_stapling 

von true auf false zu setzen. Ich habe es gerade getestet – dann funktioniert der Zugriff auf die Microsoft-Seiten wieder. Ich denke, die nächsten Firefox-Updates (betrifft auch Clones) werden das Problem fixen.

Ähnliche Artikel:
Probleme in Firefox mit eingeloggten Session: Auto-Logout am Morgen
Fix für Firefox Addon-Problem und 'Der Download ist fehlgeschlagen'
Microsoft live.com/Hotmail-Login-Probleme im Firefox (OCSP-Zertifikat)
Neues vom Firefox-Add-On-Memory-Leak-Problem
Thunderbird 78.x: Upgrade auf Version 91, und abzusehende Probleme
Kollidieren Firefox und Office wegen vcruntime140.dll?


Anzeige

Dieser Beitrag wurde unter Firefox abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

35 Antworten zu Firefox kann nicht auf Microsoft.com zugreifen … (12. Dez. 2021)

  1. Frank M. sagt:

    Das kann ich bestätigen, so funktioniert z.B. auch der Downloadlink zur aktuellen Version 7.0.1 der Samsung Magician Software for Consumer nicht, es erscheint dieselbe Fehlermeldung. Link verweist auf https://p6wrew7f[.]azureedge[.]net/magician

  2. Bolko sagt:

    Es gibt jetzt einen neuen Firefox 95.0.1 (Winfuture-Download).

    Ich hatte vorher schon unter Einstellungen, Datenschutz und Sicherheit, den Haken bei "Zertifikate" entfernt.
    (entspricht security.OCSP.enabled = 0)

    Zugriff auf Microsoft-Seiten war kein Problem, obwohl beide Optionen auf True eingestellt waren.
    security.ssl.enable_ocsp_must_staple = True
    security.ssl.enable_ocsp_stapling = True

    Im Privacy-Handbuch steht es schon lange drin, dass man OCSP-Server nicht benutzen soll:
    "Die Validierung via OCSP-Server ist veraltet und leicht auszutricksen"
    statt dessen soll man OCSP.Stapling benutzen:
    "OCSP.Stapling ist ein modernes Verfahren, dass die oben genannten Probleme vermeidet."
    www[.]privacy-handbuch[.]de/handbuch_21r.htm

    In dieser Anleitung steht explizit drin, dass man beide Optionen auf True stellen soll:
    security.ssl.enable_ocsp_must_staple = True
    security.ssl.enable_ocsp_stapling = True

    und bei mir funktioniert das auch.
    Du rätst jetzt aber zum Gegenteil und aktivierst dadurch wieder die OCSP-Server-Funktion, die man vermeiden soll, weil es veraltet und unsicher ist.

    Ich schlage vor, du stellst mal die Zertifikate-Option aus
    (security.OCSP.enabled = 0 bzw unter Einstellungen, Datenschutz und Sicherheit, Zertifikate, Haken entfernen) und stellst beide Optionen auf true.
    security.ssl.enable_ocsp_must_staple = True
    security.ssl.enable_ocsp_stapling = True

    Dann nochmal mit Microsoft.com etc testen.

    • Günter Born sagt:

      beim Firefox 95 hilt das security.OCSP.enabled = 0 nicht – ich komme nicht auf microsoft.com.

      Ich habe dann alles wieder zurück gestellt – und plötzlich lässt microsoft.com sich wieder aufrufen.

    • Frank M. sagt:

      Habe erst nach dem Update auf 95.0.1 mal in about:config nachgeschaut.
      Beide von dir genannten "security.ssl.enable_ocsp…"-Einstellungen sind (evtl. jetzt erst!?) per default auf "true" eingestellt.

  3. Paul sagt:

    Mit firefox 95.0 W10 10.0.19042.1348 gestern ca 14Uhr

    Fehler: Gesicherte Verbindung fehlgeschlagen

    Beim Verbinden mit docs.microsoft.com trat ein Fehler auf. Die OCSP-Antwort enthält keinen Status für das zu prüfende Zertifikat.

    Fehlercode: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

    Also das gleiche, oder?
    Nach ca. 2..3 Minuten ging und geht es wieder.
    War da irgendwie ein Zertifikats Server down?
    Leider habe ich nicht geguck welche IP hinter

    • Mira Bellenbaum sagt:

      Habe es gerade wie Bolko gemacht.
      Erst Update auf 95.0.1
      danach die Einträge
      * security.ssl.enable_ocsp_must_staple
      * security.ssl.enable_ocsp_stapling
      auf "true" zurückgesetzt.

      Microsoft.com ist erreichbar!

  4. cram sagt:

    Kann ich ebenfalls bestätigen.

    Microsoft.com funktioniert nicht mehr mit dem Firefox (95.0). Fehlermeldung "MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING".

    Nach ein paar Aktualisierungen (F5), funktioniert es wieder für ein paar Seiten.

  5. Bolko sagt:

    Microsoft setzt beim Update-Catalog auf HTTP statt HTTPS und da meckert dann Chromum und weigert sich.
    Mit Firefox kann man hingegen "Weiter mit HTTP" anklicken.

    Da sollte Microsoft mal nachbessern und auf HTTPS-Downloads umstellen.

    • Günter Born sagt:

      Das ist schon vor Jahren von Stefan Kanthak kritisiert worden – Microsoft kennt das Problem. Da laufen teilweise wilde Umleitungen – aber nicht immer.

      • A. Nonym sagt:

        curl -I http://www.microsoft.com
        HTTP/1.1 200 OK
        Accept-Ranges: bytes
        Content-Length: 1020
        Content-Type: text/html
        ETag: "6082151bd56ea922e1357f5896a90d0a:1425454794"
        Last-Modified: Wed, 04 Mar 2015 07:39:54 GMT
        Server: AkamaiNetStorage
        Expires: Thu, 16 Dec 2021 13:44:29 GMT
        Cache-Control: max-age=0, no-cache, no-store
        Pragma: no-cache
        Date: Thu, 16 Dec 2021 13:44:29 GMT
        Connection: keep-alive

        Merkwürdig ist das LastModified und das Expires Datum

  6. Bolko sagt:

    Bei mir im Firefox sind die beiden "Microsoft Corporation"-Zertifikate gültig von 18 Dec 2019 bis 18 Jul 2042 und beide haben sowohl sha1 als auch sha256 Fingerabdrücke (Hashes).

    Ist das bei euch anders?
    Also fehlt bei euch sha1?

  7. Bolko sagt:

    Mit Firefox 95.0.1 ist der Bug gefixt:

    "We expect to ship Firefox 95.0.1, 96.0b6, and 91.4.1esr releases tomorrow which will resolve this bug."
    bugzilla[.]mozilla[.]org/show_bug.cgi?id=1745600

    Also einfach bei Winfuture den aktuellen Firefox runterladen.

    Aus Sicherheitsgründen würde ich wie in meinem vorherigen Beitrag beschrieben, OCSP-Stapling aktivieren und OCSP-Server deaktivieren.

    • FriedeFreudeEierkuchen sagt:

      "Also einfach bei Winfuture den aktuellen Firefox runterladen."
      Ich würde Firefox (oder einen anderen Browser bzw. sicherheitsrelevante Software ) N I E aus Fremdquellen laden. Wer garantiert dir, dass du eine korrekte Version ohne Manipulation herunter lädst? Was macht dich sicher, dass Winfuture (oder wer auch immer) seine Software-Kette sicher im Griff hat?

      Bei mir hat es gereicht das Update über Hilfe/Über Firefox anzustoßen.
      Jetzt funktionieren die Microsoft Domains wieder.

  8. Wil Ballerstedt sagt:

    Hm, ich scheine zu spät zu kommen. Mein Fuchs (aktuell) hat keine Probleme. Öffnet, ohne irgendeine Fehlermeldung.

  9. Andreas Hofer sagt:

    Das Update auf Firefox 95 hilt mir nicht, solange ich bei der ESR bleiben möchte.

    Das geschilderte Problem titt bei mir auch seit kurzem auf, aber nicht immer. Mal gehts, und sehr viel häufiger nicht…

  10. Bolko sagt:

    Bei Computerbase sind jetzt auch alle neuen Versionen vom Firefox mit dem Bugfix online im Downloadbereich.

  11. Ärgere das Böse! sagt:

    Sind Firefox 95.0 und 95.0.1 dieselbe Version?

  12. Quack sagt:

    Mein Firefox hat sich soeben selbständig von 91.4.0ESR auf 91.4.1ESR abgedated.

    LG

  13. Maroon sagt:

    Heute nachmittag bin ich mit Firefox 95.0.0 noch mitten in einer Session auf https://partner.microsoft.com herausgeflogen. Mittlerweile ist 95.0.1 installiert.

    Seit 2 Tagen komme ich übrigens nicht mehr auf was meine favorisierte Suchmaschine ist. Im Firefox als auch im Edge kommen die Meldungen SSL_ERROR_BAD_CERT_DOMAIN (FF) bzw. NET::ERR_CERT_COMMON_NAME_INVALID (Edge).

  14. Maroon sagt:

    Als Ergänzung zu meinem vorigen Kommentar: Ich habe nun festgestellt, dass StartPage auch über https://www.startpage.com verfügbar ist, ohne den genannten Fehler.

  15. PattyG sagt:

    Seit dem Update auf FF 95.0 Probleme mit Aufruf von account.microsoft.com gehabt (Fehlermeldung wie oben beschrieben).
    Auch das stetige Hämmern auf "Nochmals versuchen" hat nix gebracht.
    Seit heutigem Update auf FF 95.0.1 geht es endlich wieder.
    "Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen" ist bei mir aktiviert/angehakt.
    Schande über mich, dass ich M$ in Verdacht hatte ;-)

  16. GPBurth sagt:

    Ist ja toll, dass Firefox so langsam "enterprisy" wird: irgendwelche wilden Funktionen einbauen, die keiner (zwingend) braucht, aber SHA-2 in CertID nicht unterstützen…

    "With 94, you'll find a selection of six fun seasonal Colorways (available for a limited time only). Now you can find a color to suit (or lift) your every mood." – sowas braucht man ja *zwingend*.
    War Firefox nicht mal der kleine, schlanke Browser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.