Re: Aw: Re: [Trolug] HTTPS-Error

[Christian B. Caldarone]

Da dies hier ja ein Linux Mailingliste ist, nutzen wir doch die Gelegenheit , das Ganze mal auf der Kommandozeile zu testen. Hierzu gebe ich das folgende Kommando auf der Shell ein: openssl s_client -connect www.trolug.de:443 -showcerts Ausgegeben wird mir folgendes: CONNECTED(00000003) depth=0 C = DE, ST = Bayern, L = Muenchen, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmas...@ispgateway.de verify error:num=18:self signed certificate verify return:1 depth=0 C = DE, ST = Bayern, L = Muenchen, O = ispgateway, CN = webserver.ispgateway.de, emailAddress = hostmas...@ispgateway.de verify return:1 --- Certificate chain  0 s:/C=DE/ST=Bayern/L=Muenchen/O=ispgateway/CN=webserver.ispgateway.de/emailAddress=hostmas...@ispgateway.de    i:/C=DE/ST=Bayern/L=Muenchen/O=ispgateway/CN=webserver.ispgateway.de/emailAddress=hostmas...@ispgateway.de -----BEGIN CERTIFICATE----- MIIDoDCCAogCCQDX8HGc7WeZdDANBgkqhkiG9w0BAQUFADCBkTELMAkGA1UEBhMC REUxDzANBgNVBAgTBkJheWVybjERMA8GA1UEBxMITXVlbmNoZW4xEzARBgNVBAoT CmlzcGdhdGV3YXkxIDAeBgNVBAMTF3dlYnNlcnZlci5pc3BnYXRld2F5LmRlMScw JQYJKoZIhvcNAQkBFhhob3N0bWFzdGVyQGlzcGdhdGV3YXkuZGUwHhcNMTAxMDEx MTQyODMyWhcNMjAxMDA4MTQyODMyWjCBkTELMAkGA1UEBhMCREUxDzANBgNVBAgT BkJheWVybjERMA8GA1UEBxMITXVlbmNoZW4xEzARBgNVBAoTCmlzcGdhdGV3YXkx IDAeBgNVBAMTF3dlYnNlcnZlci5pc3BnYXRld2F5LmRlMScwJQYJKoZIhvcNAQkB Fhhob3N0bWFzdGVyQGlzcGdhdGV3YXkuZGUwggEiMA0GCSqGSIb3DQEBAQUAA4IB DwAwggEKAoIBAQChveSWaljNcz7FkicSthK7xlIv65AXoMGGyxfUugtwBX0tiwGq 2UxppkeHd7T1FgJf6LhwyBpQIGZe2e2IldDWUzyGSlPBf6ExCUsvwG5yHa1AJEFW G7zugYeSaVsE4uwqn8TQcZNkbvhQ5LkmBEQgvYHe3bZzid9a1/j4l2+meY+Higx0 IZXhEUUMPfSe0GtQWa5wcBGsRvnIABH7Smc7C00AwEL4TYawBtyToyhduymC2pRd uZxIwodKA0ZXoiUpfqpnojTBZcEOM6X3kNZxBcuiJqKV/Oq5HelKsGajpeD6yfAE unsBZmyfjlVFOaBA37fkApI/BpJoVJWFGZJfAgMBAAEwDQYJKoZIhvcNAQEFBQAD ggEBAIZYTQgWGXMqJ3v8Cn5VR8d4dcr8/q2ggBTVifmRI3Mfb40iIA90lhFST+Ww NFlL0+Cwu07Y+k1qusB8jb04J+9NhqhidB0l8+YMSLYKZOWXEGpkUpT1nZCP+pqN +qOaUAhEuslAO+0sW5pG+tzzpsmeSIoa3UcToZjf1ov/mLSGZKxy6Zb2HSgMv4J5 fw1ATpLLzJfID5ioXrJwzKk+VGQrxNg8EIltTm0FQKM5oy9sqSgBbUvGHk29NNqz EoRzb1KmLCDxF3jhs+X71dcIq38m5KBDoOArs6JyeXsGC6ahCtWgXOQLAa1ldPmg uRQMstmakyuXcg1iax1W/GBj9iE= -----END CERTIFICATE----- --- Server certificate subject=/C=DE/ST=Bayern/L=Muenchen/O=ispgateway/CN=webserver.ispgateway.de/emailAddress=hostmas...@ispgateway.de issuer=/C=DE/ST=Bayern/L=Muenchen/O=ispgateway/CN=webserver.ispgateway.de/emailAddress=hostmas...@ispgateway.de --- No client certificate CA names sent Peer signing digest: SHA512 Server Temp Key: ECDH, P-256, 256 bits --- SSL handshake has read 1623 bytes and written 415 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session:     Protocol  : TLSv1.2     Cipher    : ECDHE-RSA-AES128-GCM-SHA256     Session-ID: 757D8E0BB870D55E3B76059885F5E4037B7D0FB30C11795490CF3E7FBA5475D9     Session-ID-ctx:     Master-Key: E32ADB2818D2CE670EC9B4F8881838C6D6D4417EF64C2509816B4716A0F8810A492F6C9CA6E013966AFD85331AB5AF62     Key-Arg   : None     Krb5 Principal: None     PSK identity: None     PSK identity hint: None     TLS session ticket lifetime hint: 300 (seconds)     TLS session ticket:     0000 - 74 ac 0c 09 b2 7b b4 51-04 4c 52 05 57 52 db 82   t....{.Q.LR.WR..     0010 - d1 02 f5 49 ed 1b 45 80-df f2 17 23 c3 27 8e 5a   ...I..E....#.'.Z     0020 - 8a 83 76 8d 9b b3 12 37-26 33 b0 f3 cf 9b 68 88   ..v....7&3....h.     0030 - 74 be 8f 62 48 2e 48 66-d4 0b ae b2 9b 0b af 33   t..bH.Hf.......3     0040 - 16 b2 38 c6 90 c0 6b 32-d2 e2 23 43 45 d6 4b 5a   ..8...k2..#CE.KZ     0050 - db 6f c9 13 ea fd 02 7d-d2 4d b5 66 c6 e0 13 85   .o.....}.M.f....     0060 - e7 ed aa 7f fc fc 99 4b-fc 94 a8 50 09 ed a4 07   .......K...P....     0070 - d4 be cb af 46 2e 94 a4-87 9f d6 32 28 62 f7 01   ....F......2(b..     0080 - 9b 84 3e b4 a2 b1 94 cc-72 16 75 9c 67 28 ca cd   ..>.....r.u.g(..     0090 - 90 de 38 14 48 e4 47 61-4a 92 6c f2 da e4 2a 8a   ..8.H.GaJ.l...*.     00a0 - 6d 30 d3 d0 cc 3e 42 87-b5 62 6d e5 00 21 fd 87   m0...>B..bm..!..     00b0 - 98 08 71 a2 93 b0 7d 7e-99 d6 a6 08 52 a6 42 1b   ..q...}~....R.B.     Start Time: 1510770261     Timeout   : 300 (sec)     Verify return code: 18 (self signed certificate) So wie es ausschaut, handelt es sich zum ein selbst signiertes Zertifikat, zum anderen passt der Domain Name nicht, denn ich habe ja trolug.de aufgerufen, das Zertifikat ist allerdings auf webserver.ispgateway.de Hinzu kommt, dass das Zertifikat den Server-Namen im CN (Common Name) abgelegt ist. Dieser Umstand alleine kann schon dazu führen, dass die Verbindung als nicht sicher angesehen wird. Server-Namen sollten über den SAN (Subject Alt Name) abgebildet werden, da über CN eigentlich nicht RFC Konform obwohl jahrelange Praxis. Chrome hat schon Mitte diesen Jahres angefangen, hierüber zu meckern: https://www.heise.de/security/artikel/Chrome-blockt-Zertifikate-mit-Common-Name-3717594.html On 11/15/2017 06:45 PM, Petra Maria Mayer wrote: Das ist nicht nur ein Problem von Firefox. Offenbar erscheint bei allen Browsern eine ähnliche Meldung. Ich habe sechs verschiedene getestet. Vorbildlich - so finde ich - geht Opera damit um. Er bietet die Möglichkeit, das Zertifikat anzeigen zu lassen.   Viele Grüße Maria   Gesendet: Mittwoch, 15. November 2017 um 14:00 Uhr Von: "Holger Jakobs" <hol...@jakobs.com> An: trolug@trolug.de Betreff: Re: [Trolug] HTTPS-Error Nein, kennt gar kein Mainstream-Browser. Das ist schon seit vielen Jahren ein Streitpunkt zwischen CACert und den Browser-Leuten.   Am 15. November 2017 12:35:40 MEZ schrieb "René Karges" <r...@karges.de>: holla, kennt der Firefox von Haus aus die Rootzertifikate von CaCert? Dann wäre ein kostenloses Zertifikat von CaCert eine Option. Vielleicht ist die Fehlermeldung, die dann käme, vertrauenserweckender, als die jetzige. Ich sehe durchaus einen Unterschied zwischen einem "falschen" und einem "unbekannten" Zertifikat. Grüße, René Am 15.11.2017 um 11:55 schrieb Jonas Stein <n...@jonasstein.de>: Hallo,   da ich nicht weiß, wer zuständig ist, die Info an alle, daß sich die TroLUG-Website unter https unschön meldet, s. Anlage. Ich weiß nicht seit wann, da ich im FX eine Ausnahmeregel definiert hatte. War jetzt nochmal auf das Problem gestoßen und wollte bei der Gelegenheit nun mal darauf hinweisen. Vielen Dank für die Info, ich betreibe die Webseite. Ich glaube das Problem liegt darin, dass wir das Providerzertifikat verwenden, es ist kostenlos für alle Domains verfügbar. Das ist dann verschlüsselt, aber die Identität der trolug.de ist nicht gesichert. Ein SSL Zertifikat, mit dem man die nächsten Jahre Ruhe hat, kostet sehr viel. https://www.df.eu/de/ssl-zertifikate/ Das Problem betrifft sehr viele Seiten: https://www.startpage.com/do/dsearch?query=Your+connection+is+not+secure&cat=web&pl=opensearch Ob die umstrittene Entscheidung von Mozilla so gut war, weiß ich nicht. Ich habe keine gute Lösung. Wenn jemand eine Lösung hat gerne her damit. ps: Ohne SSL gehts natürlich auch ohne Warnung: http://trolug.de/ Beste Grüße, -- Jonas Stein Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de     Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de -- Holger Jakobs, Mülheimer Str. 133, 51469 Bergisch Gladbach * von unterwegs gesendet, daher kurz * sent from mobile, therefore short *_______________________________________________ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de _______________________________________________ Trolug_trolug.de mailing list trolug@trolug.de https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de

signature.asc
Description: OpenPGP digital signature

_______________________________________________
Trolug_trolug.de mailing list
trolug@trolug.de
https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de