[Rant] Firefox und seine HTTPS redirects

Das Thema wurde sicher schon mal in ähnlicher weise ausgekotzt. Firefox macht aus jedem expliziten http:// ein https://. Ganz gleich, ob das nun eine lokale Adresse ist oder eben das gefährliche WWW. Die Idee dahinter ist mir natürlich klar. Im Internet will ich https:// und auch weniger technisch versierte Personen sollten in den Genuss von Verschlüsselung kommen. Aber im lokalen Netz?

Ich habe einen kleinen Pi laufen, auf dem ich eine kleine, feine Webseite für mich betreibe (http://[hostname]/). Einfach nur ein privates lokales Projekt, an dem ich sowohl für Desktop, als auch für die mobile Ansicht vor mich hin schreibe. Und von Firefox wird mir in meinem eigenen "sicheren" Netzwerk obtruiert, dass ich diese Spielerei verschlüssle. Es könnte ja meine Katze bei HTTP mitlesen. Oder noch schlimmer irgendwelche Gäste, die erst mal ihr Notebook mit Matrix- und Hackerman-Aufkleber auf den Küchentisch stellen und Wireshark anschmeißen, ehe sie sich mit mir unterhalten wollen?

Klar, mit unnötig komplizierten Kniffs (about:config) kann man die Nutzung von http:// erlauben, aber Firefox for Android scheint es einfach so zu machen, wie es gerade am liebsten passt. Parallelen zur Mondstellung? Abhängigkeiten zum Wetter? Man weiß es nicht. Eine Konfiguration neben "HTTPS Only" (deaktiviert!) gibt es nicht. Sollte es nicht möglich sein, einen Hostname auf Ursprung (LAN/WAN) zu prüfen?

Ich komme dann also wieder, wenn Firefox an meinem Self-Signed Certificate scheitert...

tl;drFirefox zwingt zu HTTPS weshalb ich auf privaten Intranet-Webseiten zu self-signed TLS/SSL wechseln muss, worauf ich keine Lust habe

Edit Ihr habt ja Recht, meine Spielereien sollten sich in die 'echte' Welt integrieren können. Hacks, damit sie eine Sonderrolle spielen, sind also auch Quatsch.

"Kommt maximal auf die Todo." hat mich kalt erwischt, dort steht SSL schon eine Weile ;-) Ich habe nun ein bisschen herum schrauben müssen, komische Fehler erhalten und auch irgendwelche kruden Dinge mit Android und exportierten Zertifikaten gemacht. Aber das Thema ist nun durch, so unnötig ich es immer noch auch finden mag

Scrath,

Thema self signed Zertifikate: Kennst du da zufällig nen guten Guide um sowas einzurichten? Ich habe einige Anwendung lokal in meinem Heimnetz laufen die ich gerne über https erreichen möchte

ChaoticNeutralCzech,
@ChaoticNeutralCzech@feddit.de avatar

Auf Android verwende Fennec – es geht um Firefox mit weniger Telemetrie und wie bei Firefox Nightly bekommst du Zugang zu Debug-Features wie:

  • alle Add-ons (die mit ihren Pop-Ups funktionieren aber natürlich schlimmer)
  • about:config

aber ohne tägliche Updates zu einer potenziell gebrochene Version. Funktionen wie Synchronisierung mit Mozilla-Konto sind geblieben.

emhl,
@emhl@feddit.de avatar

Ich nutze einfach ein Wildcard Zertifikat, Was ich mir mit letsencrypt generieren lassen hab. Mit DNS challenges muss der Server auch nicht von draußen erreichbar sein. Theoretisch musst du dir auch keine Domain zulegen. Mit duckdns.org Subdomains funktioniert das ganze auch Recht simpel.

CriticalSilence,
@CriticalSilence@feddit.de avatar

In dem Szenario meinst Du eine Webseite nach "draußen" verfügbar machen? Da ist es mir nachvollziehbar, wenn nicht sogar zwingend erforderlich. Aber bei mir geht es tatsächlich nur um eine Webseite, die ich im eigenen Netz hinter dem Router hoste, mit der Außenwelt hat sie nichts am Hut und das wird auch so bleiben

emhl,
@emhl@feddit.de avatar

Wenn man klassisch bei letsencrypt Zertifikate beantragt wird überprüft, ob der Server, der das Zertifikat beantragt über diese Domain erreichbar ist.

Mit der anderen Methode (Dns Challenge) ist dies nicht notwendig. Sofern du normale Domains für dein Heimnetz verwendest kannst du dir so also gültige SSL Zertifikate generieren, die nur im Heimnetz verwendet werden sollen.

this_is_router,
@this_is_router@feddit.de avatar

Google mal nach HSTS, vielleicht liegt da der Hase im Pfeffer

chaddy,
@chaddy@feddit.de avatar

Sollte es nicht möglich sein, einen Hostname auf Ursprung (LAN/WAN) zu prüfen?

Das ist für Firefox denke ich out-of-scope und ist halt eigentlich etwas, das nur den router interessieren sollte.

Kann dein Problem auch nicht wirklich reproduzieren, meistens reicht es explizit http://* anzugeben oder eben den http Port hinter die Adresse zu hängen. Bei self-signed Zertifikaten muss ich das nur einmal akzeptieren und jeder weitere Besuch danach läuft normal ab. Habe glaube ich auch nie iwas darüber in about:config ändern müssen.

char8_t,

Verschlüsselung sollte halt überall aktiviert und eben Standard sein, auch im Heimnetz. Du als versierter Nutzer weißt vermutlich was alles bei dir im Heimnetz abgeht. Der DAU weiß es aber nicht. Zu oft werden solche internen Dienste dann aber auch irgendwann ins Internet gehangen und HTTPS? Dieses neumodische Zeug! Brauch ich das überhaupt? Geht doch auch so. Kommt maximal auf die Todo.

Klar sind self-signed Certs im Heimnetz maximal nervig da man ja gleich noch eine CA betreiben sollte und den Geräten bekannt machen muss hilft dann auch nicht weiter.

Aber wir haben nicht mehr 1990 wo das alles einfach nur funktionieren muss sondern 2023 wo Verschlüsselung einfach immer mit dabei sein sollte. Sicherheit ist nie bequem.

noname,

So einfach ist das nicht. Ohne Domain kannst du nur selbst signierte zertifikate machen. Da meckert Firefox auch gleich wieder und der Button für die Ausnahmeregelung ist schwer zu finden und missverständlich beschrieben.

char8_t,

Doch eigentlich schon. Denn du kannst dir im Heimnetz einfach eine Domain ausdenken, eine CA aufsetzen diese im Firefox importieren und sich nicht mehr über Zertifikatswarnungen oder HTTPS redirect ärgern. Das geht dann einfach.

thisn,

Also ich nutze caddy als reverse proxy

aksdb,

Löst nicht das Problem, dass man dann allen lokalen Browsern/Geräten die eigene CA bzw zumindest das eigene RootCrt verklickern muss.

Und nein, Let's Encrypt kommt für nichtöffentliche Adressen für mich nicht in Frage. (Schon allein, weil ich die Domains, die ich lokal nutze, gar nicht registrieren könnte.)

DrM,

Eine eigene CA zu installieren ist aber auch kein großes Ding, man muss nur dran denken die dahinterliegenden Zertifikate regelmäßig zu erneuern. Ist eigentlich auch das sinnvollste fürs Heimnetz ne eigene CA anzulegen und dann auf allen Geräten von der CA signierte Zertifikate zu hinterlegen

aksdb,

Kosten/Nutzen. "Sicherheit" gibt es immer nur im Kontext. Und in meinem Kontext spielt es einfach keine Rolle, ob man den Traffic sniffen kann oder nicht.

Eine CA richtig zu betreiben ist auch alles andere als trivial. Denn wenn jemand an dein RootCA kommt, bist du noch mehr am Arsch, weil du dann auch noch glaubst die Verbindung wäre sicher.

  • All
  • Subscribed
  • Moderated
  • Favorites
  • random
  • uselessserver093
  • Food
  • aaaaaaacccccccce
  • [email protected]
  • test
  • CafeMeta
  • testmag
  • MUD
  • RhythmGameZone
  • RSS
  • dabs
  • Socialism
  • KbinCafe
  • TheResearchGuardian
  • Ask_kbincafe
  • oklahoma
  • feritale
  • SuperSentai
  • KamenRider
  • All magazines
    •