Hi Leute,
Ich habe ein ziemlich dummes Problem:
Beim Zugriff mit android-Mobilgeräten auf SSL-geschützte Bereiche auf einen Webshop bekommt man eine Fehlermeldung: "das sicherheitszertifikat der website ist nicht vertrauenswürdig"
Das tritt anscheinend auf allen Browsern (android boat, chrome, Samsung Std-Browser) auf.
Am normalen Desktop ist alles OK, auch beim Laden der Mobilversion (es liegt also nicht an irgendwelchen Inhalten (wie Bildern), die nicht via SSL geladen werden).
Nach einigem googeln vermute ich mal das liegt daran, dass das Zwischenzertifikat nicht richtig eingebunden ist.
Umgebung:
Hoster: Alfahosting (Vertrag Reseller Plan C)
OS: Debian GNU/Linux 5.0.1 (lenny)
Confixx 3.3.5 Pro
Apache/2.2.9 (Debian)
SSL Zertifikat: Comodo Positive SSL CA 2 (heißt bei Alfahosting "Power SSL")
Ich habe folgendes probiert:
1. File erstellt und das Zwischenzertifikat aus dem SSL-Kundenceter reinkopiert:
/etc/apache2/ssl.im/ssl.im
2. direkt mit vi in /etc/apache2/confixx_vhosts/web1.conf im passenden Abschnitt der Domain diese Zeile hinzugefügt:
SSLCACertificateFile /etc/apache2/ssl.im/ssl.im
Dies war aber nach Apache-restart ohne Effekt und die /etc/apache2/confixx_vhosts/web1.conf wurde von confixx überschrieben.
3. In confixx als Administrator eingeloggt und für die Domain als httpd-spezial folgendes eingetragen:
SSLCACertificateFile /etc/apache2/ssl.im/ssl.im
Das bring auch überhaupt nichts.
Hat hier vielleicht noch jemand einen Tipp? Bin ich da auf dem Holzweg?
Ciao, Mojo
Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
Zuletzt geändert von Mojo78 am 21.01.2014 21:33:42, insgesamt 1-mal geändert.
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
Das Ding ist ausgestellt auf "customssl.com" statt "www.dieseite.de"?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-
DeletedUserReAsG
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
a) CN für das Teil ist „customssl.com“ – dass Browser meckern, wenn es für „dieseseite.de“ benutzt wird, ist normal und gewollt.
b) bei dem Setup (längst im Archiv verschwundenes OS, Confixx, …) kommt’s auf SSL auch nicht mehr an – das Dingens ist wahrscheinlich von Grund auf unsicher.
b) bei dem Setup (längst im Archiv verschwundenes OS, Confixx, …) kommt’s auf SSL auch nicht mehr an – das Dingens ist wahrscheinlich von Grund auf unsicher.
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
Ok, dann ist mein Desktop/Iceweasel unnormal, denn der meckert nämlich auch.Mojo78 hat geschrieben: Das tritt anscheinend auf allen Browsern (android boat, chrome, Samsung Std-Browser) auf.
Am normalen Desktop ist alles OK,
Ansonsten schließe ich mich niemand an;
Upgrade auf wheezy dringend empfohlen.
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
oh danke für die vielen Antworten.
Argh, ich habe "https://www.dieseite.de" nur als dummy genommen, die Domain ist eine andere.
Ich möchte nicht, dass Kunden, die irgendwann mal die Domain googlen zig "Hilfe, ich bin zu blöd meinen Server zu konfigurieren" - Posts finden
Jap, das mit dem veralteten Setup ist sone Sache. Generell ist der Inhaber der Domain mit dem Paket falsch bedient. Der braucht meiner Ansicht nach mangels Know-How im (kleinen) Unternehmen dringend irgendeinen Managed-Server und nutzt die gesamte Reseller-Funktionalität im Grunde überhaupt nicht. Leider gestaltet sich das aus verschiedenen Gründen alles nicht so einfach und wird wohl auch nicht umgehend geändert.
Es ist nur so:
Das SSL-Problem würde ich gerne kurzfristig für ihn lösen. Habt Ihr evtl. noch 'ne Idee, was da schief laufen könnte?
Besten Dank nochmal für die Antworten,
Ciao, Mojo
Argh, ich habe "https://www.dieseite.de" nur als dummy genommen, die Domain ist eine andere.
Ich möchte nicht, dass Kunden, die irgendwann mal die Domain googlen zig "Hilfe, ich bin zu blöd meinen Server zu konfigurieren" - Posts finden
Jap, das mit dem veralteten Setup ist sone Sache. Generell ist der Inhaber der Domain mit dem Paket falsch bedient. Der braucht meiner Ansicht nach mangels Know-How im (kleinen) Unternehmen dringend irgendeinen Managed-Server und nutzt die gesamte Reseller-Funktionalität im Grunde überhaupt nicht. Leider gestaltet sich das aus verschiedenen Gründen alles nicht so einfach und wird wohl auch nicht umgehend geändert.
Es ist nur so:
Das SSL-Problem würde ich gerne kurzfristig für ihn lösen. Habt Ihr evtl. noch 'ne Idee, was da schief laufen könnte?
Besten Dank nochmal für die Antworten,
Ciao, Mojo
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
Könnte an Android liegen. Vielleicht ist die CA einfach nicht vertrauenswürdig aus Sicht von Android. Da kannst du dann wohl nicht viel machen außer eine andere CA suchen.
Re: Web-Zugriff (android) via SSL -> nicht vertrauenswürdig
@uname: danke für den Tipp! Aber mittlerweile gibt's auch unter android keine Probleme mehr. Es fehlte tatsächlich nur das SSLCACertificateFile.
Das Problem war: Ich habe immer in der Datei /etc/apache2/confixx_vhosts/web1.conf
den Block der Domain geändert:
<VirtualHost 176.28.99.999:443>
ServerName http://www.xyz.de
...
Es gibt aber noch ein anderes File, das anscheinend IP-Weit die SSL-Settings definiert:
"/etc/apache2/conf/confixx_vhost.conf"
NameVirtualHost 176.28.99.999:443
<VirtualHost 176.28.99.999:443>
Seit ich diesem Block unter der passenden IP das SSLCACertificateFile hinzugefügt habe funktioniert es.
Es ist übrigens so, dass im File confixx_vhost.conf unter anderem /etc/apache2/confixx_vhosts/web1.conf includiert wird.
Das ist ein ja SSL-Zertifikat für nur eine Domain und keines für alle Domains der IP.
Ich hätte jetzt gedacht, dass die mod_ssl Section im Virtualhost-block der Domain die der IP überschreibt, aber das stimmt so wohl nicht.
Jetzt soll in Kürze eine weitere Seite unter der gleichen IP mit eigenem SSL-Zertifikat laufen, das wird doch so niemals funktionieren können.
Ich habe eben mal flugs ausprobiert einfach den gesamten mod_ssl block der IP zu deaktivieren - aber dann ist ssl komplett deaktiviert.
Vielleicht hat jmd. einen Tipp, wie ich ein SSL-Zertifikat nur für eine einzelne Domain definieren kann?
Ciao, Mojo
Edit: Oh ich les gerade: "As a rule, it is impossible to host more than one SSL virtual host on the same IP address and port." (http://wiki.apache.org/httpd/NameBasedSSLVHosts)
Dann muss beim nächsten shop definitiv eine neue IP her.
Das Problem war: Ich habe immer in der Datei /etc/apache2/confixx_vhosts/web1.conf
den Block der Domain geändert:
<VirtualHost 176.28.99.999:443>
ServerName http://www.xyz.de
...
Es gibt aber noch ein anderes File, das anscheinend IP-Weit die SSL-Settings definiert:
"/etc/apache2/conf/confixx_vhost.conf"
NameVirtualHost 176.28.99.999:443
<VirtualHost 176.28.99.999:443>
Seit ich diesem Block unter der passenden IP das SSLCACertificateFile hinzugefügt habe funktioniert es.
Es ist übrigens so, dass im File confixx_vhost.conf unter anderem /etc/apache2/confixx_vhosts/web1.conf includiert wird.
Das ist ein ja SSL-Zertifikat für nur eine Domain und keines für alle Domains der IP.
Ich hätte jetzt gedacht, dass die mod_ssl Section im Virtualhost-block der Domain die der IP überschreibt, aber das stimmt so wohl nicht.
Jetzt soll in Kürze eine weitere Seite unter der gleichen IP mit eigenem SSL-Zertifikat laufen, das wird doch so niemals funktionieren können.
Ich habe eben mal flugs ausprobiert einfach den gesamten mod_ssl block der IP zu deaktivieren - aber dann ist ssl komplett deaktiviert.
Vielleicht hat jmd. einen Tipp, wie ich ein SSL-Zertifikat nur für eine einzelne Domain definieren kann?
Ciao, Mojo
Edit: Oh ich les gerade: "As a rule, it is impossible to host more than one SSL virtual host on the same IP address and port." (http://wiki.apache.org/httpd/NameBasedSSLVHosts)
Dann muss beim nächsten shop definitiv eine neue IP her.