Fedora wird DoH nicht in Firefox aktivieren

Guten Nachrichten von Fedora. Wie wir so eben einer relevanten Fedora Mailingliste entnehmen konnten, planen die Fedora Entwickler das DoH in Firefox nicht zu aktivieren, wenn es kommt.

DNS over HTTPS in Firefox

Das Thema hat ganz schön für Wellen gesorgt. Ohne mich zu wiederholen, ist die Essenz über DoH, daß es vom Prinzip her ok ist, aber eben durch die Zentralisierung im Firefox auf Cloudflare so nicht akzeptabel ist. Da der Bundesdatenschutz ähnliche Bedenken gezeigt hat, wie sie auch mir und Anderen gekommen sind, würde das in Europa für Mozilla vermutlich nicht besonders gut ausgehen, um nicht zu sagen, daß es ein sehr teures Experiment würde.

Ein Fedora Entwickler bekundete in der ML dann auch, daß es in der Form nicht defaultmäßig aktiviert sein wird. Zieht  man sich aber Firefox von der Mozillaseite direkt, z.b. wegen einer ESR Version, wäre das natürlich anders.

Ich für meinen Teil sage, daß jemand, der am DNS rumspielt, extrem viel Ahnung davon haben sollte, was DNS für alle bedeutet, um sinnvolle Entscheidungen zu treffen. Mozilla und Cloudflare zähle ich jetzt nicht zu dem Kreis, sonst wäre diese Entscheidung so nicht gefallen. Da ich das Thema erst heute in einem 90 Minütigen Vortrag mal von mehreren Seiten beleuchtet habe, kann ich sagen, daß so „simple“ der Dienst auch erscheinen mag, alle nachträglichen Security Erweiterungen sind daran gescheitert. DNS SEC z.b. hat zwar für Vertrauen in das Ergebnis gesorgt, ist aber auch nicht in allen Ecken und Enden der Server und Desktopanwendungen angekommen. Man mag es nicht glauben, aber das Fedora Repo kennt gerade mal eine Handvoll Pakete und die meisten davon sehen aus, als wenn es nur Teile ein und desselben Programms sind.

DNS-over-TLS, was technisch DNS-over-HTTPS sehr nahe kommen wird, ist auch so ein Krisenfall. Die Ursache dafür liegt darin, daß gute Krypto immer bedeutet, daß mehr in Aufwand, Rechenleistung,Zeit und Datengröße investiert werden muß, was es insgesamt teuer und langsam macht. Das wollte Mozilla mit dem Alleingang vermutlich vermeiden, aber dafür die Privatsphäre opfern geht ja mal gar nicht. Aber vielleicht meinten sie das ja auch ironisch, weil die Verschlüsselung sollte ja genau das verbessern, was es faktisch natürlich nicht tut 🙂

Gegen die Idee, daß auch der Inhalt von DNS gegen abhören gesichert ist, spricht außer der Rechenleistung, dem Keymanagement, der Datenblockgröße eigentlich nichts.  Allerdings habe ich so meine Zweifel, ob das in den 1 $US IoT Chips jemals sauber implementiert sein wird.

Bleibt nur zu hoffen, daß das Ziel Encrypted DNS irgendwann mal funktioniert.

Games: World of Warcraft

Ihr wisst ja, daß Runes of Magic unter Linux nicht mehr will, daher habe ich mir jetzt einen anderen Zeitvertreib gesucht:

Eine Alternative zu Runes of Magic

… und es fing alles harmlos an. „Hey, Du wolltest doch schon immer mal WOW testen“ .. die Stimme aus dem Off, die man nur selbst hören kann sprach zu mir. Naja, gestern habe ich der mal nachgegeben und wollte sehen, ob meine Wine Umgebung schuld ist oder ROM. Die Antwort ist klar: ROM 🙂

Setup runtergeladen, 4.7 MB installiert, Launcher Battle.net gestartet und … Es start…ähmm?

„Tut uns total leid, aber …“

„… das von Ihnen verwendete OS ist leider um 32Bit zu kurz!“ 🙂 Da will ein aktuelles Programm doch glatt ein 64Bit Windows sehen. Kennt man gar nicht von Gameforge(ROM), deswegen die Überraschung 😉 Also muß ein 64bit Wine her… na sowas, da ist eins. Extra mal für Elite-Dangerous gebaut. Mit allem Schnickschnack und es belegt nicht mal meine SSD.

Also nochmal .. Setup mit ED Wineenv und 64Bit Staging Wine gestartet, installiert und … ? \o/

Es gab bei der Charerstellung einige Grafikprobleme, weswegen ich mal auf DX11 downgraden mußte und zwar so, daß das Spiel das auch merkt, aber danach..

Willkommen in Azeroth!

Und schon geht das Grinden nach XP los. Quests lösen, war jetzt nicht so schwer, aber rausbekommen, wer wo was ist nicht optimal, da muß ich Runes of Magic mal loben, das Questsystem ist besser. Durch die WoW Schriftart wird es nicht besser oder interessanter zu lesen. Der Questhelper weiß nicht mal wo es stattfinden, respektive welche Monster mal killen soll und zu allem Überfluss ist das Spiel komisch drauf.

Egal welchen Level man hat, die Monster wachsen mit. d.b. es macht keinen Unterschied wo man da zuerst rumläuft, selbst die Level 1 Beginnermobs sind immer +-1 Level vom Spieler ( 0 mal ausgenommen ).

Das ist ein krasser Unterschied zum ROM, da man dort irgendwann nicht mehr von den Mobs angegangen wird, weil man denen „über“ ist. Man bekommt dann auch keine XP mehr.

Was man aber ohne Vorbehalte sagen darf, die Grafik und Atmosphäre ist in WoW 10x besser als in ROM. Es wird zwar nicht von DX11 soviel gebraucht gemacht, aber alles in allem wirkt die Landschaft da einfach besser und liebevoller gestaltet als ich das von Runes kenne. Das war auch der Punkt auf den ich mich am meisten gefreut habe.

Als Free-Account ohne Geld, darf man nichts in Aktionshaus stellen, weil man so nichts wertvolles verkaufen kann, das einem am Ende das Gold für die WOW-Marke ( 30 Tage Spielzeit ) einbringt. Nicht das man als Anfänger was zu verticken hätte, aber da gibt es ja Wege: Mats grinden, Zeug herstellen, kochen kann ich schon ganz gut, bei Raids Zeug klauen 😀 .. Hey, Hey! Nicht buhen.. bin ein Dunkelelf, lest mal die Rassenbeschreibungen! 😉

Alles in allem bin ich mit Tag 1 sehr zufrieden, Spiel gestartet bekommen, ohne Hilfe Lvl 14 geworden, Pet angelernt und dazu noch für das Video gepoosst. Eins habe ich vergessen zu erwähnen. Eine kleine Tatsache die man als Gameforgegeschädigter fast nicht glauben kann! Kommt Ihr nie drauf!

!!!! WoW stützt nicht laufend ab!!!!

Also gar nicht bis jetzt..  JAAAAAAAAAAAAAAAAAAAAAA \O/ !!!!!!!!!!!!

Firefox, die Fritz!box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler

Was hatten wir schon lange nicht mehr? Das der Firefox seltsame Fehlermeldungen ausspuckt. Seit es Firefox 69 gibt, kann man statt der Adminoberfläche seiner Fritz!box nur noch einen mysteriösen, bis Dato unbekannten, „SEC_ERROR_INADEQUATE_KEY_USAGE“ Fehler sehen:

Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit fritz.box trat ein Fehler auf. Eine Verwendung des Zertifikatschlüssels ist für den versuchten Arbeitsschritt unpassend. Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Wer ist da der Schuldige?

Ihr kennt den Fehler auch nicht? Da seid Ihr in guter Gesellschaft. Ein so unbekannter Fehler ist es dann allerdings auch nicht, wie meine Nachforschungen ergeben haben. Leider nutzt dies alles nichts, da man den Bug nicht selbst beheben kann. Das Ihr eine Fritzbox, einen Firefox und Linux habt, ist übrigens keine Garantie auch eine Fehlermeldung zu bekommen.

Der Fehler wird von Firefox seit 69 für die Fritzboxen gezeigt, d.b. Firefox hat offensichtlich einen Check verändert, der vorher durchgelaufen ist.
Moniert wird, daß der Key gar nicht für ein Cert zugelassen wäre: „A certificate has a key usage extension that does not assert a required usage“

Wenn man sich das Cert mit openssl x509 -text -purpose ansieht, kommt das raus:

Certificate purposes:
SSL client : Yes
SSL client CA : Yes
SSL server : Yes
SSL server CA : Yes
Netscape SSL server : Yes
Netscape SSL server CA : Yes
S/MIME signing : Yes
S/MIME signing CA : Yes
S/MIME encryption : Yes
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
Time Stamp signing : No
Time Stamp signing CA : Yes

Also alles korrekt? Mitnichten!

Die Zwecke für die das Zert eingesetzt werden darf, sind ok. Was aber ins Auge fällt ist:

X509v3 Subject Alternative Name: critical
DNS:benderirc.de, DNS:fritz.box, DNS:www.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box, DNS:fritz.nas, DNS:www.fritz.nas

Ihr seht richtig. In dem Cert der Fritzbox taucht ein Domainname auf, der da gar nichts zu suchen hat und von dem Firefox bereits ein gültiges Zertifikat kennt.

Issuer: CN = benderirc.de
Validity
Not Before: Dec 24 15:25:01 2017 GMT
Not After : Jan 15 15:25:01 2038 GMT

Schauen wir weiter nach der Gültigkeit, finden wir raus, daß es bereits im Jahr 2017 erzeugt wurde, so also schon seit Jahren dem Firefox vorliegt und der das bislang noch nie moniert hat.

AVM gegen Mozilla

Die Frage zu klären wird sicher spannend und nervig werden. Primär würde ich jetzt erstmal AVM beschuldigen, weil der Domainname hat da nun so gar nichts zu suchen. Was geht bitte meine Fritzbox eine meiner Domains an? Auf der anderen Seite, ist das kein neuer Zustand, also wieso meckert FireFox jetzt da drüber?

Ich werde also beide anmailen müssen, damit jeder seinen Teil an dem Desaster behebt. Im Bugzilla von Mozilla ist zu dem Fehler bereits vor 6 Jahren mal ein Patch geschrieben worden, ich wette da hat bei Version 68->69 einer dran rumgespielt.

 

Linuxtablet zieht Blicke auf sich

Ich weiß nicht was daran so besonders ist, aber jeder zweite Radfahrer der gerade an meinem Tablet vorbeikommt, schaut es sich im Vorbeifahren an. Vorbeikommende Kinder und neugierige Insekten übrigens auch 🙂

Dabei können die Leute das mit dem Linux gar nicht sehen. Muß an mir liegen, wie ich mit gekrümmten Rücken so in die Tasten haue 😀