blog.bartlweb - a technologist's external brain

Thema: Keine Kategorie

Firefox erlaubt keine Ausnahmen für selbst-signierte Zertifikate für mit HSTS gesicherte Websites zu erstellen

Wer seine Website mit HSTS (HTTP Strict Transport Security) absichert, zeigt damit, dass seine Website nur mittels HTTPS erreichbar ist und das impliziert auch, dass immer ein gültiges und von einer öffentlichen CA ausgestelltes und damit vertrauenswürdiges Zertifikat ausgeliefert wird.

HSTS lässt sich auch in Verbindung mit self-signed Zertifikaten nutzen, hat dann aber Konsequenzen beim Wechsel von einem abgelaufenen Zertifikat gegen ein neues selbst-signiertes Zertifikat. Die Browser verweigern, dann nämlich den Aufbau der Verbindung zur Website und ermöglichen es dem Nutzer auch nicht manuelle Ausnahmen zu setzen. Abhilfe schafft in diesem Fall nur das eher unrealistische Szenario, das der Betreiber der Website auf ein vertrauenswürdiges Zertifikat einer CA wechselt oder das Löschen des Browser-Caches am Client, der auf die so abgesicherte Website zugreifen möchte.