neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von feltel » 20.02.2014 18:50:39

Ich habe für das Forum und alle dazugehörigen Subdomains ein neues CAcert SSL-Zertifikat (ein 4096-bittiges) erzeugt, das per Subject-Alt-Name-Eintrag alle von uns genutzten Domains in einem Zertifikat vereint. Ich werde es jetzt auf allen Apache VHosts eintragen. Es hat die folgenden Sicherheitsmerkmale zur Verifikation:

SHA256-Fingerprint:

Code: Alles auswählen

C4 C6 1C 62 E1 5B 8E DF 49 D9 FC E6 A2 3E 6D D0 63 71 D4 7B 48 A9 3A 53 8E 93 A2 6C A1 89 70 BD
SHA1-Fingerprint:

Code: Alles auswählen

7F 4C 5E 6C 79 97 AD 53 92 FF C4 EA 02 B3 FF 3D DF CD E4 38
Gültig ist das Zertifikat vom 20.02.2014 bis 20.02.2016.

Benutzeravatar
Patsche
Beiträge: 3262
Registriert: 21.06.2013 01:47:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: /home/10001101001

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von Patsche » 20.02.2014 19:17:57

Danke für die Info!

Benutzeravatar
hias
Beiträge: 222
Registriert: 27.03.2010 22:50:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Monaco di Baviera

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von hias » 28.03.2014 00:46:19

Hallo feltel,

genau dieses SSL-Zertifikat macht mir jetzt Probleme. Chromium weigert sich seit dem Update auf Version 33.0.1750.152 Debian jessie/sid (256984), die Seite zu laden. Die Fehlermeldung enthält u.a. folgende Informationen:

Code: Alles auswählen

debianforum.de hat Chrome zur Blockierung fehlerhafter Zertifikate aufgefordert. Das Zertifikat, das Chrome während dieses Verbindungsversuchs erhalten hat, weist jedoch einen Fehler auf.
Fehlertyp: HSTS failure
Empfänger: debianforum.de
Aussteller: CAcert Class 3 Root
Hashes des öffentlichen Schlüssels:
Tritt das bei Dir auch auf ? Kann ich das irgendwie vermeiden ? Die anderen Browser auf meinem System (w3m und uzbl) funktionieren tadellos.

Gruß Hias
Desktop - Debian Jessie (Openbox) - Windows - Antergos (Gnome)
Toshiba Satellite Pro A 10 - Debian Jessie (Openbox) | Thinkpad x220 - Debian Jessie (Gnome)

niesommer
Beiträge: 2493
Registriert: 01.10.2006 13:19:37
Lizenz eigener Beiträge: GNU General Public License

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von niesommer » 28.03.2014 08:40:49

Hallo,
Habe das gleiche Problem allerdings mit Iceweasel, ich kann die Seite nicht mehr aufrufen. Mit chromium gehts. Benutze gerade Jessie, mal sehen wenn ich später mein Wheezy benutze wie es da aussieht.
Screenshot
Was kann ich tun um das abzustellen?
Gruß niesommer

Benutzeravatar
shoening
Beiträge: 914
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von shoening » 28.03.2014 09:47:36

Hi,

den Grund findet ihr in diesem Thread [1]

Oder hier nochmal erläutert: Debian vertraut cacert nicht mehr - so dass das cacert.org Wurzelzertifikat aus den
Truststores, die über das Debian Paketsystem kommen, entfernt wurde.

Man kann sich, wenn man persönlich cacert weiterhin vertraut, deren Zertifikat herunterladen [2] und in den jeweiligen
Truststore installieren.

Systemweit gibt es da /etc/ssl/certs

Im Iceweasel z.B. im Menu: Edit / Preferences / Advanced / Certificates / View Certificates / Import

Ciao
Stefan


[1] viewtopic.php?f=1&t=148415
[2] http://www.cacert.org/index.php?id=3
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

niesommer
Beiträge: 2493
Registriert: 01.10.2006 13:19:37
Lizenz eigener Beiträge: GNU General Public License

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von niesommer » 28.03.2014 11:54:24

@shoening
vielen dank :THX:
Problem gelöst dank deiner Infos
Gruß niesommer

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von feltel » 28.03.2014 19:13:47

Insgesamt ist die Debian/CACert-Geschichte relativ unschön, vorallem für den Normal-User, der dann mit Fehlermeldungen konfrontiert wird, die Tags zuvor noch nicht kamen. Ich bin zwar ggü. der Zertifikate-Industrie sehr kritisch eingestellt, aber scharf am überlegen, ob man das nicht zwangsweise früher oder später doch machen muss. Das CACert überraschenderweise doch noch von Mozilla aufgenommen wird, wird wohl so schnell nicht passieren.

Ich hab mir jetzt mal für meine Domain ein freies Cert von startssl.com geholt. Der Enroll-Prozess ist machbar, allerdings sind die Zertifikate nur 1 Jahr gültig und keine SAN-Zertifkate. D.h. man müsste für jede Subdomain ein eigenes Cert beantragen. Eine andere Variante wäre kostenpflichtig, mit 59 Dollar für 2 Jahre aber handlebar.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von catdog2 » 28.03.2014 19:52:24

Insgesamt ist die Debian/CACert-Geschichte relativ unschön
Vieleicht (hoffentlich) aber auch genau der Arschtritt dens gebraucht hat um aus der endlosen Stagnation zu kommen: http://www.heise.de/netze/meldung/CAcer ... 56226.html
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von feltel » 29.03.2014 11:52:20

Update: Dieses Zertifikat ist aufgrund der aktuellen CACert-Problematik aktuell nicht im Einsatz. Infos zum aktuell verwendetem Zertifikat.

Benutzeravatar
Patsche
Beiträge: 3262
Registriert: 21.06.2013 01:47:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: /home/10001101001

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von Patsche » 29.03.2014 12:19:19

Ich bekomme jetzt folgende Seite über https:

Bild

Mit http klappt es natürlich....

Benutzeravatar
cirrussc
Beiträge: 6582
Registriert: 26.04.2007 19:47:06
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von cirrussc » 29.03.2014 12:32:08

shoening hat geschrieben:Hi,

den Grund findet ihr in diesem Thread [1]

Oder hier nochmal erläutert: Debian vertraut cacert nicht mehr - so dass das cacert.org Wurzelzertifikat aus den
Truststores, die über das Debian Paketsystem kommen, entfernt wurde.

Man kann sich, wenn man persönlich cacert weiterhin vertraut, deren Zertifikat herunterladen [2] und in den jeweiligen
Truststore installieren.

Systemweit gibt es da /etc/ssl/certs

Im Iceweasel z.B. im Menu: Edit / Preferences / Advanced / Certificates / View Certificates / Import

Ciao
Stefan


[1] viewtopic.php?f=1&t=148415
[2] http://www.cacert.org/index.php?id=3
Funktioniert bei mir nicht mit Iceweasel, alles unverändert.

Und http wird automatisch zu https.
Nur Konqueror macht sich da nix draus.
Gruß cirrussc
--------------------
„Der Mensch steigert zur Zeit die Nutzung dessen, was seiner Willkür unterliegt - und kommt sich sehr klug dabei vor.“ H. Gruhl

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von feltel » 29.03.2014 12:37:19

Patsche hat geschrieben:Ich bekomme jetzt folgende Seite über https:

Bild
http://blog.tausys.de/2013/10/27/starts ... er-fehler/ :facepalm:

Demzufolge müsstest Du ohne Fehlermeldung mit dem Iceweasel auf https://feltel.de kommen, denn dort hab ich ein ähnliches Cert gestern Abend eingespielt.

whiizy
Beiträge: 683
Registriert: 23.07.2011 22:09:37

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von whiizy » 29.03.2014 16:04:51

feltel hat geschrieben:
Patsche hat geschrieben:Ich bekomme jetzt folgende Seite über https:

Bild
http://blog.tausys.de/2013/10/27/starts ... er-fehler/ :facepalm:

Demzufolge müsstest Du ohne Fehlermeldung mit dem Iceweasel auf https://feltel.de kommen, denn dort hab ich ein ähnliches Cert gestern Abend eingespielt.
Hallo,

ich war zwar jetzt nicht direkt gefragt worden, aber es ist zumindest bei mir so, wie Du sagst. Mit iceweasel kommt aktuell bei https://debianforum.de noch die abgebildete Fehlermeldung. Bei https://feltel.de funktioniert es schon wieder.

Danke für den Hinweis.

Benutzeravatar
Patsche
Beiträge: 3262
Registriert: 21.06.2013 01:47:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: /home/10001101001

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von Patsche » 29.03.2014 19:57:36

Alles wieder im Lot jetzt. https kann wieder genutzt werden.

Benutzeravatar
feltel
Webmaster
Beiträge: 10448
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: AW: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Name

Beitrag von feltel » 29.03.2014 20:13:36

Gut. Die Certs für das Wiki, den Planet usw. sind erzeugt und einspielen werde ich sie dann morgen, um dann den OCSP-Delay wenigstens bei diesen Certs zu umgehen.

ctwx
Beiträge: 328
Registriert: 04.04.2010 23:06:55
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von ctwx » 29.03.2014 22:01:25

Kurze Frage: Welches wird denn nun genutzt? Ich habe hier im Firefox nun alle die ich gefunden habe mit debianforum gelöscht und trotzdem wird noch eins von StartCom geladen, mit den folgenden Daten:

SHA1-Fingerabdruck: D7:64:D2:DC:C7:78:F9:2F:6B:79:D7:D5:19:B1:54:50:01:D1:25:5E
MD5-Fingerabdruck: FF:98:2B:1F:3A:C6:B1:02:0F:A2:74:86:FE:6E:E7:A0

Und es ist gültig bis 30.03.2015. Ist das nun aktuell oder nun doch das von CACert?

Benutzeravatar
Patsche
Beiträge: 3262
Registriert: 21.06.2013 01:47:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: /home/10001101001

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von Patsche » 29.03.2014 23:09:58

Das Start-Zertifikat ist seit heute aktuell. CaCert wurde jetzt ersetzt.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

Beitrag von rendegast » 30.03.2014 09:50:47

catdog2 hat geschrieben: Vieleicht (hoffentlich) aber auch genau der Arschtritt dens gebraucht hat um aus der endlosen Stagnation zu kommen:
So einen hat kernel.org 2011-08 bekommen (zumindest zu der Zeit entdeckt),
und sich bis heute nicht erholt, unvollständige Repos
https://www.kernel.org/pub/linux/kernel/v2.6/,
nicht wieder aufgebaute Struktur der Ländermirrors.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten