[English]Firefox-Nutzer scheinen momentan wohl Probleme mit dem Zugriff auf Microsoft-Webseiten zu haben. Ein Blog-Leser hatte mich die Tage bereits kontaktiert. Nun lese ich weitere Berichtet im Internet, dass dies kein Einzelfall ist, sondern wohl mehr Anwender trifft.
Anzeige
Ein erste Meldung
Bereits am 12.12.2021 meldete sich Blog-Leser Roland M. per Mail und beklagte sich, dass er Probleme mit dem Firefox-Browser und Microsoft-Webseiten habe. Hier seine Mail:
Hallo Günter
Ich wollte vorhin mit Nightly auf mein Microsoft-Konto zugreifen. Geht nicht, es kommt folgende Fehlermeldung:
«Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit account.microsoft.com trat ein Fehler auf. Die OCSP-Antwort enthält keinen Status für das zu prüfende Zertifikat.
Fehlercode: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.»
Mit Firefox geht es auch nicht.
Aber ooooooh Wunder! Mit Edge geht es.
Da ich nicht vom IT-Fach bin, gehe ich davon aus, dass gemäss der Fehlermeldung Microsoft Firefox und Nightly blockiert für die Anmeldung im MS-Konto.
Mit Seamonkey geht es auch nicht, hat dieselbe Engine wie Firefox und Nightly
Mit dem Brave-Browser auf Chromium-Basis geht es.
Ich habe dann meinen Firefox portable hier unter Windows 7 gestartet und meine Microsoft-Konten für OneDrive etc. kurz geprüft. Da klappte alles und ich konnte den Fehler nicht verifizieren. War aber mein Fehler, da die getesteten Domains nicht betroffen sind. Ich vermutete irgend eine Sicherheitslösung als Störenfried und habe das nicht weiter verfolgt. Roland meldete sich einen Tag später, dass sich der Fehler bei ihm plötzlich aufgelöst habe, es funktioniere wieder.
Ich habe es nun im Nachgang nochmals mit microsoft.com versucht und bekam sofort die obige Fehlermeldung. Da liegt also was Arges im Busch. Roland schrieb mir gerade: "Manchmal geht es! Echt schräg! Man muss einfach ein paar mal auf «nochmals versuchen» klicken.".
Anzeige
Benutzereinträge in Microsoft Q&A
Gerade bin dann über den Fehlercode MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING auf den aktuellen Benutzereintrag Problem with Secure Connection bei Microsoft Q&A gestoßen. Dort hat ein Nutzer folgendes gepostet:
Problem with Secure Connection
Hi
Using Firefox and am getting a lot of the error messages shown below. Sometimes it seems to last about 15 min and then I will get one session OK.
========================================
Secure Connection FailedAn error occurred during a connection to docs.microsoft.com. The OCSP response does not include a status for the certificate being verified.
Error code: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING
1. The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
2. Please contact the web site owners to inform them of this problem.
Die Probleme werden von weiteren Nutzern bestätigt. Mit dem Online Certificate Status Protocol (OCSP) können Browser und andere clientseitige Anwendungen prüfen, ob ein SSL-Zertifikat widerrufen wurde, anstatt sich auf herkömmliche Sperrlisten zu verlassen. Da scheint wohl was im Argen zu liegen, das angeforderte Zertifikat existiert wohl nicht.
Ich bin auf das Thema erneut aufmerksam geworden, weil die Kollegen von Bleeping Computer den Fehler beim Validieren von SSL-Zertifikaten beim Zugriff auf Microsoft-Seiten verifizieren konnten und bestätigen, dass der Firefox Probleme beim Zugriff auf microsoft.com habe. Die Kollegen schreiben, dass es mit dem Konzept des OCSP stapling zusammen hänge.
Weiterhin schreiben die Leute, dass das Problem möglicherweise mit einem 8 Jahre alter Bug in Firefox oder einer fehlenden Funktion für dieses Problem verursacht werde. Denn der Firefox erkennt noch keine SHA-2-Hashes (wie SHA-256), in den CertID-Feldern. Die in den empfangenen OCSP-Antworten enthaltenen Werte sind aber mit SHA-256 gehashed. Daher werde jedes Zertifikat, das SHA-256-Hashes enthält, im Gegensatz zu den älteren SHA-1-Hashes, als ungültig angesehen und veranlasst Firefox, die Verbindung mit der Website zu beenden.
Bleeping Computer gibt Betroffenen den Ratschlag, als schnellen schneller Workaround das OCSP Stapling in Firefox vorübergehend zu deaktivieren, um die Verbindungsprobleme zu beheben. Hierzu müssen Firefox-Benutzer about:config in ihre Adressleiste eingeben und die Eingabetaste drücken. Dann ist die Schaltfläche "Risiko akzeptieren und fortfahren" zu bestätigen. Anschließend sind folgende Optionen:
- security.ssl.enable_ocsp_must_staple
- security.ssl.enable_ocsp_stapling
von true auf false zu setzen. Ich habe es gerade getestet – dann funktioniert der Zugriff auf die Microsoft-Seiten wieder. Ich denke, die nächsten Firefox-Updates (betrifft auch Clones) werden das Problem fixen.
Ähnliche Artikel:
Probleme in Firefox mit eingeloggten Session: Auto-Logout am Morgen
Fix für Firefox Addon-Problem und 'Der Download ist fehlgeschlagen'
Microsoft live.com/Hotmail-Login-Probleme im Firefox (OCSP-Zertifikat)
Neues vom Firefox-Add-On-Memory-Leak-Problem
Thunderbird 78.x: Upgrade auf Version 91, und abzusehende Probleme
Kollidieren Firefox und Office wegen vcruntime140.dll?
Anzeige
Das kann ich bestätigen, so funktioniert z.B. auch der Downloadlink zur aktuellen Version 7.0.1 der Samsung Magician Software for Consumer nicht, es erscheint dieselbe Fehlermeldung. Link verweist auf https://p6wrew7f[.]azureedge[.]net/magician…
Es gibt jetzt einen neuen Firefox 95.0.1 (Winfuture-Download).
Ich hatte vorher schon unter Einstellungen, Datenschutz und Sicherheit, den Haken bei "Zertifikate" entfernt.
(entspricht security.OCSP.enabled = 0)
Zugriff auf Microsoft-Seiten war kein Problem, obwohl beide Optionen auf True eingestellt waren.
security.ssl.enable_ocsp_must_staple = True
security.ssl.enable_ocsp_stapling = True
Im Privacy-Handbuch steht es schon lange drin, dass man OCSP-Server nicht benutzen soll:
"Die Validierung via OCSP-Server ist veraltet und leicht auszutricksen"
statt dessen soll man OCSP.Stapling benutzen:
"OCSP.Stapling ist ein modernes Verfahren, dass die oben genannten Probleme vermeidet."
www[.]privacy-handbuch[.]de/handbuch_21r.htm
In dieser Anleitung steht explizit drin, dass man beide Optionen auf True stellen soll:
security.ssl.enable_ocsp_must_staple = True
security.ssl.enable_ocsp_stapling = True
und bei mir funktioniert das auch.
Du rätst jetzt aber zum Gegenteil und aktivierst dadurch wieder die OCSP-Server-Funktion, die man vermeiden soll, weil es veraltet und unsicher ist.
Ich schlage vor, du stellst mal die Zertifikate-Option aus
(security.OCSP.enabled = 0 bzw unter Einstellungen, Datenschutz und Sicherheit, Zertifikate, Haken entfernen) und stellst beide Optionen auf true.
security.ssl.enable_ocsp_must_staple = True
security.ssl.enable_ocsp_stapling = True
Dann nochmal mit Microsoft.com etc testen.
beim Firefox 95 hilt das security.OCSP.enabled = 0 nicht – ich komme nicht auf microsoft.com.
Ich habe dann alles wieder zurück gestellt – und plötzlich lässt microsoft.com sich wieder aufrufen.
Habe es gerade wie Bolko gemacht.
Erst Update auf 95.0.1
danach die Einträge
* security.ssl.enable_ocsp_must_staple
* security.ssl.enable_ocsp_stapling
auf "true" zurückgesetzt.
Microsoft.com ist erreichbar!
v95.0 reicht nicht, man braucht mindestens 95.0.1
Habe erst nach dem Update auf 95.0.1 mal in about:config nachgeschaut.
Beide von dir genannten "security.ssl.enable_ocsp…"-Einstellungen sind (evtl. jetzt erst!?) per default auf "true" eingestellt.
Wurde doch mit Firefox 95 gefixt oder nicht?
https://www.ghacks.net/2021/12/16/firefox-95-0-1-fixes-microsoft-com-connection-issues-and-other-bugs/
Das dürfte eine 1. April Meldung sein.
Bei mir geht es nicht, bzw. manchmal, Firefox 95.0 und Nightly 97.0a1 vom 16.12.2021.
v95.0 ist aber nicht v95.0.1
Der Bugfix ist erst ab v95.0.1 enthalten, aber noch nicht in 95.0
Mit firefox 95.0 W10 10.0.19042.1348 gestern ca 14Uhr
Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit docs.microsoft.com trat ein Fehler auf. Die OCSP-Antwort enthält keinen Status für das zu prüfende Zertifikat.
Fehlercode: MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
Also das gleiche, oder?
Nach ca. 2..3 Minuten ging und geht es wieder.
War da irgendwie ein Zertifikats Server down?
Leider habe ich nicht geguck welche IP hinter
Habe es gerade wie Bolko gemacht.
Erst Update auf 95.0.1
danach die Einträge
* security.ssl.enable_ocsp_must_staple
* security.ssl.enable_ocsp_stapling
auf "true" zurückgesetzt.
Microsoft.com ist erreichbar!
Kann ich ebenfalls bestätigen.
Microsoft.com funktioniert nicht mehr mit dem Firefox (95.0). Fehlermeldung "MOZILLA_PKIX_ERROR_OCSP_RESPONSE_FOR_CERT_MISSING".
Nach ein paar Aktualisierungen (F5), funktioniert es wieder für ein paar Seiten.
Update machen und wie oben beschrieben einstellen.
Microsoft setzt beim Update-Catalog auf HTTP statt HTTPS und da meckert dann Chromum und weigert sich.
Mit Firefox kann man hingegen "Weiter mit HTTP" anklicken.
Da sollte Microsoft mal nachbessern und auf HTTPS-Downloads umstellen.
Das ist schon vor Jahren von Stefan Kanthak kritisiert worden – Microsoft kennt das Problem. Da laufen teilweise wilde Umleitungen – aber nicht immer.
curl -I http://www.microsoft.com
HTTP/1.1 200 OK
Accept-Ranges: bytes
Content-Length: 1020
Content-Type: text/html
ETag: "6082151bd56ea922e1357f5896a90d0a:1425454794"
Last-Modified: Wed, 04 Mar 2015 07:39:54 GMT
Server: AkamaiNetStorage
Expires: Thu, 16 Dec 2021 13:44:29 GMT
Cache-Control: max-age=0, no-cache, no-store
Pragma: no-cache
Date: Thu, 16 Dec 2021 13:44:29 GMT
Connection: keep-alive
Merkwürdig ist das LastModified und das Expires Datum
> Server: AkamaiNetStorage
Das ist irgendein CDN, nicht Microsoft selbst.
Bei mir im Firefox sind die beiden "Microsoft Corporation"-Zertifikate gültig von 18 Dec 2019 bis 18 Jul 2042 und beide haben sowohl sha1 als auch sha256 Fingerabdrücke (Hashes).
Ist das bei euch anders?
Also fehlt bei euch sha1?
Mit Firefox 95.0.1 ist der Bug gefixt:
"We expect to ship Firefox 95.0.1, 96.0b6, and 91.4.1esr releases tomorrow which will resolve this bug."
bugzilla[.]mozilla[.]org/show_bug.cgi?id=1745600
Also einfach bei Winfuture den aktuellen Firefox runterladen.
Aus Sicherheitsgründen würde ich wie in meinem vorherigen Beitrag beschrieben, OCSP-Stapling aktivieren und OCSP-Server deaktivieren.
"Also einfach bei Winfuture den aktuellen Firefox runterladen."
Ich würde Firefox (oder einen anderen Browser bzw. sicherheitsrelevante Software ) N I E aus Fremdquellen laden. Wer garantiert dir, dass du eine korrekte Version ohne Manipulation herunter lädst? Was macht dich sicher, dass Winfuture (oder wer auch immer) seine Software-Kette sicher im Griff hat?
Bei mir hat es gereicht das Update über Hilfe/Über Firefox anzustoßen.
Jetzt funktionieren die Microsoft Domains wieder.
Im Prinzip hast du recht mit Downloads von Winfuture und Co.
Ich hatte aber die Checksumme überprüft und wusste daher, dass die Datei korrekt ist und bei Winfuture bzw Computerbase findet man den Download leichter als auf dem FTP von Mozilla.
sha256 für die 64-Bit exe:
9341734e6f23ea3a41edb4dbbaac77402048d3b89405fb02ad2a9c5944d549c3
Checksummen-Datei:
https://ftp.mozilla.org/pub/firefox/releases/95.0.1/SHA256SUMS
Direkter Link vom Mozilla-FTP für v95.0.1 64-Bit deutsch:
https://ftp.mozilla.org/pub/firefox/releases/95.0.1/win64/de/Firefox%20Setup%2095.0.1.exe
Da ist es einfacher "Winfuture" oder "Computerbase" zu schreiben als den langen Link zum FTP zu setzen.
Hm, ich scheine zu spät zu kommen. Mein Fuchs (aktuell) hat keine Probleme. Öffnet, ohne irgendeine Fehlermeldung.
Das Update auf Firefox 95 hilt mir nicht, solange ich bei der ESR bleiben möchte.
Das geschilderte Problem titt bei mir auch seit kurzem auf, aber nicht immer. Mal gehts, und sehr viel häufiger nicht…
In 91.4.1 ESR ist der Bug auch gefixt.
Bei Computerbase sind jetzt auch alle neuen Versionen vom Firefox mit dem Bugfix online im Downloadbereich.
Sind Firefox 95.0 und 95.0.1 dieselbe Version?
Nein, 95.0 ist ungleich 95.0.1
Benötigt wird mindestens 95.0.1
Das Update wird jetzt verteilt.
Momentan geht es.
Ich hatte eigentlich Microsoft im Verdacht, den Edge-Browser ein wenig "fördern" zu wollen. Und jetzt liegt der Fehler bei Mozilla.
Mein Firefox hat sich soeben selbständig von 91.4.0ESR auf 91.4.1ESR abgedated.
LG
Heute nachmittag bin ich mit Firefox 95.0.0 noch mitten in einer Session auf https://partner.microsoft.com herausgeflogen. Mittlerweile ist 95.0.1 installiert.
Seit 2 Tagen komme ich übrigens nicht mehr auf was meine favorisierte Suchmaschine ist. Im Firefox als auch im Edge kommen die Meldungen SSL_ERROR_BAD_CERT_DOMAIN (FF) bzw. NET::ERR_CERT_COMMON_NAME_INVALID (Edge).
Warum nimmst du nicht
https://startpage.com/de
Schau dir mal das Zertifikat an.
Da werden Alternative DNS-Namen aufgelistet.
classic.startpage.com ist da nicht dabei.
Übrigens classic.startpage.de leitet weiter.
Wird wohl mal aufgeräumt mit dem neuen Zertifikat.
Ausgestellt am 15.Dezember 2021
Als Ergänzung zu meinem vorigen Kommentar: Ich habe nun festgestellt, dass StartPage auch über https://www.startpage.com verfügbar ist, ohne den genannten Fehler.
Seit dem Update auf FF 95.0 Probleme mit Aufruf von account.microsoft.com gehabt (Fehlermeldung wie oben beschrieben).
Auch das stetige Hämmern auf "Nochmals versuchen" hat nix gebracht.
Seit heutigem Update auf FF 95.0.1 geht es endlich wieder.
"Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen" ist bei mir aktiviert/angehakt.
Schande über mich, dass ich M$ in Verdacht hatte ;-)
Ist ja toll, dass Firefox so langsam "enterprisy" wird: irgendwelche wilden Funktionen einbauen, die keiner (zwingend) braucht, aber SHA-2 in CertID nicht unterstützen…
"With 94, you'll find a selection of six fun seasonal Colorways (available for a limited time only). Now you can find a color to suit (or lift) your every mood." – sowas braucht man ja *zwingend*.
War Firefox nicht mal der kleine, schlanke Browser?