BaBa: SHA 1-Zertifikatswarnung auf Seiten mit Youtube-Player

Hallo,

ich bekomme auf Seiten, auf denen ich einen Youtube embedde eine Warnung im Firebug:

Diese Website verwendet ein SHA-1-Zertifikat; es wird empfohlen, Zertifikate mit Signaturalgorithmen zu verwenden, die stärkere Hashfunktionen verwenden als SHA-1.

Woran kann das liegen? Irgendeine Idee?

Cheers,
BaBa

--
BaBa kommt von Basketball
  1. Hallo

    ich bekomme auf Seiten, auf denen ich einen Youtube embedde eine Warnung im Firebug:

    Diese Website verwendet ein SHA-1-Zertifikat; es wird empfohlen, Zertifikate mit Signaturalgorithmen zu verwenden, die stärkere Hashfunktionen verwenden als SHA-1.

    Woran kann das liegen? Irgendeine Idee?

    Das liegt wohl daran, dass auf der Seite irgendein Element ein SHA-1-Zertifikat verwendet. Steht doch (mehr oder minder) da.

    Die Meldung kommt von deinem Browser und die Beobachtung, dass das (für dich: nur) bei Seiten mit eingebettetem Youtube-Video geschieht, lässt zumindest vermuten, dass es genau diese Videoeinbindungen sind, die die Meldung auslösen.

    Tschö, Auge

    --
    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
    1. Und kann man etwas dagegen tun? Es wundert mich ein bisschen, da ich wenn ich SHA1 google viele Ergebnisse bekomme ála "Google forciert die Abschaffung von SHA1" etc. Und Youtube gehört ja zu google.

      Cheers,
      BaBa

      --
      BaBa kommt von Basketball
      1. Hallo BaBa,

        Und kann man etwas dagegen tun? Es wundert mich ein bisschen, da ich wenn ich SHA1 google viele Ergebnisse bekomme ála "Google forciert die Abschaffung von SHA1" etc. Und Youtube gehört ja zu google.

        Prüfe ggfls erstmal, ob das wirklich von Youtube kommt. Ich kann das Verhalten nämlich nicht nachvollziehen.

        LG,
        CK

        1. Wie prüfen? Wenn ich auf der Seite zwei Youtubplayer habe, bekomme ich die Nachricht zweimal im Firebug. Firebug sagt mir aber nicht, woher das kommt.

          Vielen Dank für die Hilfe.

          Cheers,
          BaBa

          --
          BaBa kommt von Basketball
          1. Hallo BaBa,

            Wie prüfen? Wenn ich auf der Seite zwei Youtubplayer habe, bekomme ich die Nachricht zweimal im Firebug. Firebug sagt mir aber nicht, woher das kommt.

            Naja, schau in die Zertifikats-Informationen. Die verstecken sich vermutlich hinter dem Globus bei der Adress-Leiste.

            Ansonsten würde ich dir auch raten, die im Firefox integrierten Tools zu nutzen statt Firebug.

            LG,
            CK

      2. Hallo

        Und kann man etwas dagegen tun? Es wundert mich ein bisschen, da ich wenn ich SHA1 google viele Ergebnisse bekomme ála "Google forciert die Abschaffung von SHA1" etc. Und Youtube gehört ja zu google.

        Dass Youtube der Übeltäter ist, ist eine Vermutung, die ich aufgrund deiner Beschreibung aufstellte. Es ist keine Gewissheit. Das veraltete Zertifikat kann natürlich auch aus einer anderen Quelle stammen, die (bei dir) auf den Seiten, die auch Youtube-Videos eingebunden haben, aufgerufen wird (Werbung?). Und um jetzt noch den Teufel an die Wand zu pechen, aber ohne die Absicht, Panik auszulösen, könnte es rein theoretisch auch sein, dass dir jemand falsche Zertifikate unterjubelt.

        Das sind und bleiben aber alles Vermutungen. Das heißt im Umkehrschluss aber nicht, dass es sich nicht lohnen würde, den Vermutungen nachzugehen. In den Browsereinstellungen solltest du dir die Zertifikate anschauen können. Dort steht auch immer der Herausgeber drin. Bei einem gefälschten Zertifikat steht dort der vom Fälscher gewünschte Herausgeber drin.

        Tschö, Auge

        --
        Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
        1. Dass Youtube der Übeltäter ist, ist eine Vermutung,

          Ja, das ist mir klar. ABER WIE KANN ICH DIESE VERMUTUNG widerlegen oder verwerfen?

          Das heißt im Umkehrschluss aber nicht, dass es sich nicht lohnen würde, den Vermutungen nachzugehen. In den Browsereinstellungen solltest du dir die Zertifikate anschauen können. Dort steht auch immer der Herausgeber drin. Bei einem gefälschten Zertifikat steht dort der vom Fälscher gewünschte Herausgeber drin.

          Wo genau?

          Zum Nachvollziehen: https://s.ytimg.com/yts/swfbin/player-vflsVaIYZ/watch_as3.swf Man klicke diesen Link an uns sage mir, ob der Hinweis auch in der Fehlerkonsole auftritt.

          Diesen habe ich aus den "Seiteninformationen" und "Medien" und der gehört m.W. zu einem Youtube Image service. Wenn ich diesen unabhängig aufrufe bekomme ich die Meldung.

          Die Zertifikate habe ich noch nicht gefunden.

          Cheers,
          BaBa

          --
          BaBa kommt von Basketball
          1. Hallo BaBa,

            Zum Nachvollziehen: https://s.ytimg.com/yts/swfbin/player-vflsVaIYZ/watch_as3.swf Man klicke diesen Link an uns sage mir, ob der Hinweis auch in der Fehlerkonsole auftritt.

            Das Zertifikat hat zwei Fingerprints, einen Sha256 und einen Sha1 (vermutlich aus Gründen der Rückwärtskompatiblität). Die Meldung von Firebug ist also falsch.

            LG,
            CK

            1. Großartig. Vielen Dank.

              Ich hatte kurzzeitig einen Trojoaner vermutet, daher. Ich werde mal versuchen mich vom Firebug zu trennen. Ich habe mich nur an die Optik so gewöhnt...

              Vielen Dank nochmal.

              Cheers,
              BaBa

              --
              BaBa kommt von Basketball
              1. Hallo

                Ich werde mal versuchen mich vom Firebug zu trennen. Ich habe mich nur an die Optik so gewöhnt...

                ??? Was hat der Firebug damit zu tun? Zumindest bei mir hat der noch nie Theater wegen eines Zertifikats gemacht.

                Tschö, Auge

                --
                Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
                1. ??? Was hat der Firebug damit zu tun? Zumindest bei mir hat der noch nie Theater wegen eines Zertifikats gemacht.

                  Es wurde mir eben empfohlen, die Boardmittel zu verwenden. Ebenso halte ich es für einen Fehler, wenn SHA1 und SHA2 ausgeliefert wird eine Warnung einzublenden.

                  Cheers,
                  BaBa

                  --
                  BaBa kommt von Basketball
                  1. Hallo

                    ??? Was hat der Firebug damit zu tun? Zumindest bei mir hat der noch nie Theater wegen eines Zertifikats gemacht. Es wurde mir eben empfohlen, die Boardmittel zu verwenden. Ebenso halte ich es für einen Fehler, wenn SHA1 und SHA2 ausgeliefert wird eine Warnung einzublenden.

                    Jaja, ist schon klar. Aber was hat das mit dem Firebug zu tun?

                    Tschö, Auge

                    --
                    Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
                    1. Ebenso halte ich es für einen Fehler, wenn SHA1 und SHA2 ausgeliefert wird eine Warnung einzublenden.

                      Jaja, ist schon klar. Aber was hat das mit dem Firebug zu tun?

                      Weil es der Firebug ist, der die Warnung anzeigt?!?

                      Cheers,
                      BaBa

                      --
                      BaBa kommt von Basketball
                      1. Hallo

                        Ebenso halte ich es für einen Fehler, wenn SHA1 und SHA2 ausgeliefert wird eine Warnung einzublenden.

                        Jaja, ist schon klar. Aber was hat das mit dem Firebug zu tun?

                        Öhhm, ja und? Der zeigt eine unberechtigte Warnung, die du ignorieren kannst. Geht davon die Welt unter?

                        Tschö, Auge

                        --
                        Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
          2. Aloha ;)

            Zum Nachvollziehen: https://s.ytimg.com/yts/swfbin/player-vflsVaIYZ/watch_as3.swf Man klicke diesen Link an uns sage mir, ob der Hinweis auch in der Fehlerkonsole auftritt.

            Bei mir tritt unter Linux Mint / Google Chrome kein Fehler in der Konsole auf.

            Mein Firefox 26 unter Linux Mint wirft allerdings auch unter Standard-Entwicklertools zumindest eine Warnung: "Lade gemischte (unsichere) Anzeige-Inhalte auf einer sicheren Seite "http://s.youtube.com/api/stats/qoe?cplayer=AS3&fv=LNX%2011,2,202,356&scoville=1&plid=&event=streamingerror&shost=www.youtube.com&cpn=2Pg91Tk_mrRjSXTz&v=&erc=1&ei=&ns=yt&ec=unknown&cver=as3&el=embedded"[Weitere Informationen]"

            Firebug unter Firefox 26/ Linux Mint wirft mir sinngemäß die selbe Warnung: Lade gemischte (unsichere) Anzeige-Inhalte auf einer sicheren Seite "http://s.youtube.com/crossdomain.xml"

            Außerdem tritt sowohl unter Chrome, als auch unter Firefox, beim Versuch, das Video abzuspielen, ein Youtube-Fehler auf.

            Irgendwas sagt mir, dass der Fehler nicht im Firebug liegt ;)

            Grüße,

            RIDER

            --
            Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller Erreichbar meist Mittwochs ab 21 Uhr im Self-TS (ts.selfhtml.org) oder sonst - wenn online - auf dem eigenen TeamSpeak-Server (fritz.campingrider.de). # Facebook # Twitter # Steam # YouTube # Self-Wiki # ch:? rl:| br:> n4:? ie:% mo:| va:) js:) de:> zu:) fl:( ss:| ls:[
            1. Hallo Camping_RIDER,

              mixed content ist etwas völlig anderes als die SHA1-Meldung. Mixed content ist natürlich kein Fehler in Firebug, aber durchaus die SHA1-Meldung.

              LG,
              CK

              1. Aloha ;)

                mixed content ist etwas völlig anderes als die SHA1-Meldung. Mixed content ist natürlich kein Fehler in Firebug, aber durchaus die SHA1-Meldung.

                Das habe ich vermutet. Die SHA1-Meldung kann ich allerdings nicht reproduzieren, oder ich sehe sie einfach nicht.

                Auf jeden Fall lässt sich das Video nicht abspielen, d.h. irgendwas muss im Busch sein, oder sollte es das auch gar nicht?

                Und ich sollte vielleicht dazu sagen, dass ich den Firebug gerade erst installiert habe. Es ging sowohl mit Firebug als auch ohne nicht und hat sowohl mit als auch ohne keine für mich ersichtlichen Fehlermeldungen (außer mixed content) erzeugt...

                Grüße,

                RIDER

                --
                Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller Erreichbar meist Mittwochs ab 21 Uhr im Self-TS (ts.selfhtml.org) oder sonst - wenn online - auf dem eigenen TeamSpeak-Server (fritz.campingrider.de). # Facebook # Twitter # Steam # YouTube # Self-Wiki # ch:? rl:| br:> n4:? ie:% mo:| va:) js:) de:> zu:) fl:( ss:| ls:[
                1. Auf jeden Fall lässt sich das Video nicht abspielen, d.h. irgendwas muss im Busch sein, oder sollte es das auch gar nicht?

                  Ich glaube nicht, dass es ein Video ist. So wie ich das sehe, ist es irgendeine Art image. Es geht ja auch an die Adresse ytimg, was für youtube image steht. Vielleicht so einen Art Stellvertreterbild vor dem Abspielen. Ich habe das nur durch Zufall gefunden, bei "Medien" unter "Extras->Seiteninformationen". Da diese Resource den Fehler isoliert, halte ich sie für die Ursache der Warnung.

                  Cheers,
                  BaBa

                  --
                  BaBa kommt von Basketball