Lösung: Firefox Fehler- sec_error_ocsp_future_response

Hin und wieder tauchen im Firefox "komische" Fehlermeldungen beim Aufrufen von Webseiten auf.

Da es durch die Zeitumstellung gerade ganz gut passt, gehe ich heute auf folgende Browser Fehlermeldung ein:

Secure Connection Failed

An error occurred during a connection to xyz.com. The OCSP response is not yet valid (contains a date in the future) Error code: SEC_ERROR_OCSP_FUTURE_RESPONSE

    The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
    Please contact the website owners to inform them of this problem. Alternatively, use the command found in the help menu to report this broken site.


Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit xyz.com aufgetreten. Die OCSP-Antwort ist noch nicht gültig (enthält ein Datum in der Zukunft). (Fehlercode: sec_error_ocsp_future_response)

     Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
     Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

 

Lösung sec_error_ocsp_future_response

Der Browser zeigt diesen Fehler beim Aufrufen einer Seite im Netz an, weil schlicht und einfach das Datum oder die Uhrzeit des Systems nicht stimmen.

Dies lässt sich bekanntermaßen einfach beheben.

Ein Aufrufen und Anpassen der Windows Zeit Einstellungen kann mit Start --> Ausführen --> ms-settings:dateandtime erfolgen.

Unter Ubuntu reicht ein sudo date --set="2019-10-27 19:35:59.990" auf der Konsole aus. Allerdings sollte hier ebenfalls an die BIOS Uhrzeit gedacht werden sudo hwclock --systohc.

Sec-error-ocsp-future-responseHelfen die richtigen Systemeinstellungen nicht dauerhaft, kann die BIOS Batterie eine Ursache sein und muss getauscht werden.

Es soll vorkommen, dass Zeiteinstellungen im System nicht angepasst werden dürfen.

Um Webseiten im Firefox dennoch aufrufen zu können, kann das bemängelte OCSP temporär abgeschaltet werden. Doch was ist das eigentlich?

OCSP Stapling

Die Wikipedia schreibt dazu:

Online Certificate Status Protocol stapling, formell bekannt als die TLS-Zertifikatsstatusabfrage-Erweiterung, ist ein alternativer Ansatz zum Online Certificate Status Protocol (OCSP) um den Gültigkeitsstatus von digitalen Zertifikaten nach X.509 zu prüfen.Es ermöglicht dem Zertifizierten, die Aufgabe der Zertifikatsvalidierung zu übernehmen, indem er eine von der Zertifizierungsstelle signierte OCSP-Antwort mit Zeitstempel an den ursprünglichen TLS-Handshake anhängt („stapling“). Dieses Verfahren verringert den Kommunikationsaufwand zwischen Clients und Zertifizierungsstellen deutlich.

OCSP Stapling im Firefox deaktivieren

Der oben erwähnte OCSP Aufruf kann im Firefox deaktiviert werden.

  1. Mozilla Firefox öffnen.
  2. In der Adressleiste about:config eingeben und Enter drücken.
  3. Nach security.ssl.enable_ocsp_stapling suchen.
  4. Den Wert auf false setzen.

Kali Linux 2019.3 und Black Arch Linux 2019.09.01 veröffentlicht

Black Arch Linux

Das Entwicklungsteam hinter BlackArch Linux hat eine neue Version 2019.09.01 veröffentlicht, die zahlreiche neue Tools, aktualisierte Komponenten und verschiedene Verbesserungen enthält.

blackarchDie Hacking- und Penetrationstestdistribution läuft nun mit Kernel 5.2.9 und hat mehr als 150 neue Tools erhalten.

Der Installer wurde auf Version 1.1.19 angehoben und das Look and Feel verbessert.

Download


Kali Linux 2019.3

Beim Platzhirsch hat sich ebenfalls etwas getan. So betreibt Offensive Security seine Distribution nun ebenfalls mit Kernel 5.2.9.

Was 8chan verloren hat, hat Kali hinzugewonnen. Gemeint ist Cloudflare als Content Delivery Network. Sollte beim Aufruf von apt update die Domain kali.download angezeigt werden, werden die Dienste von Cloudflare in Anspruch genommen.

Die bereits in der Vergangenheit angekündigten Änderungen der Metapakete (mehr Infos hier ) wurden umgesetzt. 
Speziell dafür wurde ein Image erstellt, welches alle alten Pakete enthält. (kali-linux-large-2019.3-amd64.iso)

In Zukunft werden Tools in folgende Gruppen unterteilt:

  • Kali-linux-default – Tools, die unserer Meinung nach für einen Penetrationstester unerlässlich sind
  • Kali-linux-large – für Penetrationstester, mit einer größere Anzahl an Tools für nicht standardisierte Einsatzgebiete
  • Kali-linux-everything – für alle, die alles wollen (ohne Internetzugang während des Tests)

Zusätzlich wurden die üblichen Aktualisierungen eingespielt (Burp Suite, HostAPd-WPE, Hyperion, Kismet, Nmap), wobei amass neu dabei ist.

 

Kali_Linux

 

Erst vor kurzem hatte ich den neuen Kali App Store vorgestellt. Mit dem aktuellen Release hat Kali Linux die Unterstützung für mobile Geräte weiter ausgebaut und unterstützt nun zusätzlich diese Modelle

  • LG V20 International Edition
  • Nexus 5X
  • Nexus 10
  • OnePlus 7

Letzteres zählt nun zu den offiziellen Standardgeräten für die mobile Kali Linux Variante.

Das Image Portfolio wurde zusätzlich auf Geräte von PINEBOOK ($99 Notebooks), sowie den Platinen von Gateworks (Ventana) erweitert.

Der neue Raspberry Pi 4 wird natürlich ebenfalls unterstützt.

 

Download



Übersicht 09/2019

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.11.0 ??? The Sleuth Kit Windows  
BackBox 6.0 100+ AWS Ubuntu Xfce
BlackArch 2019.09.01 1750+ ArchLinux ArchLinux Gnome
CAINE 10 100+ WinUFO Ubuntu Mate
DracOS 3.0 100+ CLI LFS DWM
DEFT Zero 2018.2 250+ Mac Support Lubuntu 14.04 Lxde
Kali Linux 2019.3 300+ ARM fähig Debian Testing Multi
Kali App Store   20+   Android  
LionSec 5.0 ??? 3 Jahre alt Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 28 ??? Server integriert Fedora  
NetSecL OS 6.0 50+   OpenSuse Lxde
Paladin 7.0 30+   Ubuntu  
Parrot Sec 4.7 (beta) 700+ Cloud fähig Debian Buster MATE/KDE
Pentoo 2018.0 RC7.1 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

 

Distrotest.net – über 200 Linux Versionen online testen

Linux Distributionen gibt es bekanntlich einige und die Auswahl welche Version nun die richtige für die aktuellen Anforderungen oder den eigenen Geschmack sein soll, fällt durchaus mal schwer.

Normalerweise würde für einen ersten Test ein VMware oder Virtualbox Image heruntergeladen, das gewünschte System installiert und fertig ist das Testsystem.

Doch dies nimmt Zeit in Anspruch und es müssen Images heruntergeladen werden.

DistroTest.netDiesen Vorgang wollen die Jungs von Distrotest.net vereinfachen.

Distrotest.net

ist ein Service der momentan 753 Versionen von 234 verschiedenen Betriebssystemen online anbietet. (komplette Liste)

Das Prinzip ist mehr als simpel. Gewünschtes System aussuchen, in eine Warteschlange einreihen und los geht es mit dem Online Linux Test. Möglich macht dies eine Mischung aus Debian und QEMU.

Allerdings gibt es teilweise starke Perfomanceunterschiede bei den einzelnen Systemen.

Ein Alpine ist in wenigen Sekunden verfügbar, ein Elementary OS lädt sich quasi tot, ein OpenSUSE andererseits funktioniert wieder recht flüssig.

DistroTest.net-suse

Die einzelnen Systeme werden über ein intergrierten noVNC Viewer angesteuert. Es kann allerdings auch auf eigene Clients zurückgergriffen werden. Die benötigten Logindaten sind auf der Webseite gelistet.

Da die Images in einem extra Fenster starten, sollten Popup Blocker deaktiviert werden.

Auch die Laufzeit ist begrenzt, kann aber individuell verlängert werden,wenn gewünscht.

Fazit

Ein Service der diese Masse an Linux/Unix Systemen online zur Verfügung stellt ist ohne Zweifel aller Ehren wert.

Allerdings hat der Service, wie oben bereits erwähnt, durchaus seine Schwankungen. Es kann vorkommen, dass der Server überlastet ist und eine lange Wartezeit in Kauf genommen werden muss.

Das Laden der Images dauert ebenfalls manchmal seine Zeit und stellt sich je nach Distribution als quälend langsam heraus. Hier ist noch Luft nach oben. (Es darf gespendet werden)

Distrotest richtet sich an Interessierte, welche mal einen Blick auf das bunte Linux Universum richten möchten, ohne sich mit der Installation und virtuellen Images auseinandersetzen zu müssen.

Distrotest.net

 

Kurztipp: Firefox mit Windows Zertifikatspeicher in der Domäne nutzen

Firefox mit Windows Zertifikatspeicher zu nutzen ist sicherlich schon eine ältere Funktion (glaube das war Firefox 49). Ich bin aber erst gerade wieder darüber gestolpert.

Der Internet Explorer oder Chrome greifen in der Standardeinstellung auf die Windows System Zertifikate zurück. Firefox macht dies von Haus aus nicht. Hier muss unter about:config der Schlüssel

security.enterprise_roots.enabled auf true gesetzt werden.

zertifikate_firefoxDanach verfügt Firefox über die gleichen Zertifikate wie Windows selbst.

So könnten beispielsweise Zertifikate, welche in einer Domäne via GPOs ausgerollt wurden, im Firefox genutzt werden.

Um zu sehen welche Zertifikate im Store sind, kann unter Windows einfach certmgr.msc aufgerufen oder ein Blick in die Registry unter  HKLM:\SOFTWARE\Microsoft\SystemCertificates\Root\Certificates geworfen werden.

Jitsi Videobridge und Jitsi Meet - eigene Web und Videokonferenzen via Browser

Vor ca.3 Jahren hatte ich bereits über Jitsi Meet berichtet. Mittlerweile ist das Thema WebRTC und Web Videokonferenzen ein alter Hut und es wird nicht mehr jeden Tag eine neue Sau durchs Dorf getrieben.

jitsi-meet-2018

Jitsi Meet

Jitsi wurde inzwischen von Atlassian übernommen und die Entwicklung an der Webkonferenzlösung still und heimlich weitergeführt.

Es wurden stets stabile Releases der Software veröffentlicht, diese waren bisher allerdings etwas schwerer zu erkennen, die hat sich nun geändert.

Die aktuellste stabile Version trägt die Nummer 2988 und der aktuelle Changelog kann auf Github eingesehen werden.

Installation unter Ubuntu

Zunächst möchte ich kurz zeigen, wie sich die neueste Version installieren lässt, dieser Vorgang wurde im Vergleich zu früher stark vereinfacht.

Ausgangsystem ist ein Ubuntu 16.04 (ja ich weiß 18.04 ist schon verfügbar)

wget -qO - https://download.jitsi.org/jitsi-key.gpg.key | sudo apt-key add 
sudo sh -c "echo 'deb https://download.jitsi.org stable/' > /etc/apt/sources.list.d/jitsi-stable.list"

sudo apt-get -y update
sudo apt-get -y install jitsi-meet

Ein Lets Encrypt Zertifikat kann nun ebenfalls automatisch erstellt werden:

/usr/share/jitsi-meet/scripts/install-letsencrypt-cert.sh

Aufrufen lässt sich die fertige Installation über https://meineServerAdresse.de

Die Software selbst hat einige Schritte nach vorne gemacht, nicht nur das Design ist besser, auch die Stabilität wurde um einiges verbessert. Neben dem eingebauten Chat lassen sich YouTube Videos oder der eigene Bildschirm teilen. Auch verschiedene Sprachen werden nun unterstützt.

jitsi-meet-2018Für Tastaturfreunde wurden ausreichend Kürzel implementiert.

jitsi-tastaturbefehle

Fazit

Wer einen eigenen Videokonferenzserver betreiben möchte, ist mit Jitsi Meet sicherlich gut bedient, die Software bietet genügend Funktionen für einen Jour fixe. 

Die schnelle und einfache Installation spricht für sich, sowie die Unterstützung für Lets Encrypt.

Falls kein Server zur Installation vorhanden ist, kann die offizielle Variante unter meet.jit.si verwendet werden.

Seit letztem Jahr wird zusätzlich auf Mobile Clients gesetzt, für Android oder für iOS stehen stabile Veröffentlichungen zur Verfügung.

Auch im Hinblick auf unsichere Programme, wie Skype und Co, bietet Jitsi Meet mit ZRTP und OTR Verschlüsselung die richtige und sichere Alternative für Videotelefonie an.

https://github.com/jitsi/jitsi-meet