für neuen Rootserver: bitte SSL-Test machen und berichten

[feltel]

Auf einem noch zu bestellenden neuen Rootserver würden wir per se nur noch eine IP zugeteilt bekommen, aktuell haben wir ein /248iger-Netz und nutzen es für die verschiedenen Dienste auch aus. Die Beschränkung bei SSL-Hosts 1 IP = 1 Cert = 1 Host galt lange Zeit, jetzt gibt es jedoch seit einiger Zeit SNI, was diese Beschränkung aufhebt. Leider unterstützen nicht alle Systeme SNI, vorallem Altsysteme aus Redmond.

Könntet ihr bitte mal, wenn ihr die Möglichkeit habt die beiden unten stehenden URLs aufrufen und schauen, ob ihr neben dem (erwarteten) Fehler wegen eines selbstsignierten Certs auch den Fehler Hostname ungleich Zertifikatsname bekommt. Schön wäre es, wenn ihr hier mit Betriebssystem- und Browserangabe berichten könntet. Testet bitte auch auf Macs, i-Devices, Androiden und wo auch immer.

Test-URLs (so aufgeschrieben, damit Onkel Google nicht vorbeikommt):

https snitest_debianforum_de
SHA1-Fingerprint: F9 81 D3 C5 DB 21 18 EF 99 9A B5 A4 8F F6 D4 88 DB B1 C8 BE; gültig ab 12.12.2011

https snitest2_debianforum_de
SHA1-Fingerprint: DF 81 E9 33 CB 43 3A 26 28 DE 96 47 48 80 39 DD 5D 96 45 CF; gültig ab 04.03.2012

[feltel]

Debian Wheezy, Chromium 17.0.963.56 OK
iOS 4.3.3, Safari ? OK
MacOS 10.6.8, Firefox 10.0.2 OK
MacOS 10.6.8, Safari 5.1.2 OK
MacOS 10.7.3, Firefox 10.0.2 OK
MacOS 10.7.3, Safari 5.1.3 OK
Windows 7 SP1, IE8 OK
Windows 7 SP1, Firefox 10.0.2 OK
Windows 7 SP1, SRWare Iron 16.0.950.0 OK
Windows Server 2003 R2 SP2, IE8 nicht OK
Windows Server 2008 R2 SP1, IE8 OK
Windows XP SP3, Firefox 10.0.2 OK
Windows XP SP3, IE8 nicht OK
Windows XP SP3, SRWare Iron 17.0.1000.0 OK

[uname]

Mit Debian Squeeze und Standard-Iceweasel gibt es nur die normale Fehlermeldung für das selbstsignierte Zertikat. Chromium macht keinen großen Unterschied und sagt einfach es ist unsicher.

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen. Ich bin auch kein Fan von der Politik der SSL-Aussteller, aber die SSL-Warnungen und vor allem die Bearbeitung innerhalb der Webbrowser ist auch schrecklich. Vielleicht mal drüber nachdenken. Wobei SSL wird sowieso überbewertet. Die Leute fühlen sich sicher und werden dann bereits am Anfang der Ende-zu-Ende-Verschlüsselung (Client) durch Windows-Schadsoftware ausgehorcht, so dass das SSL witzlos wird. Siehe Phishing beim Internet-Banking.

[4A4B]

Unter Debian Squeeze mit Opera 11.61 sowie unter FreeBSD 8.2 mit Opera 11.61 erhalte ich nur die Fehlermeldung "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

[mindX]

Squeeze-amd64, Opera 11.61: "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Squeeze-amd64, ELinks: "You don't have permission to access / on this server."

Squeeze-amd64, Chromium 6.0.472.63:"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

Squeeze-amd64, Iceweasel 10.0.2: "Dieser Verbindung wird nicht vertraut.... snitest.debianforum.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (Fehlercode: sec_error_untrusted_issuer)"

[feltel]

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen.

Das selbstsignierte Cert ist bloß für den Test. Auf dem Produktivsystem wird dann wie hier bereits am laufen ein Cert von CAcert benutzt werden.

[guennid]

Ich weiß zwar nicht, was ich da gemacht habe, aber vielleicht hilft's dir ja:

squeeze amd64, midori 0.2.4

ich habe "https snitest_debianforum_de" in midori eingegeben und erhielt ohne irgendeine weitere Meldung eine google-Liste mit deinem thread als einzigen Treffer. Same procedure mit "https snitest2_debianforum_de".

Grüße, Günther

[feltel]

Neee, so war das nicht gemeint.

Das "https snitest usw". ist eine maskierte URL ohne Doppelpunkt und Doppelslash und Unterstrichen statt Punkten. Ich hab das bloß so geschrieben, damit die Adresse nicht in den Googlecache kommt. Die beiden Adressen habe ich eingerichtet, um herauszufinden auf welchen Betriebssystem-/Browserkombinationen es zu Fehlern kommt, um abschätzen zu können, wieviele wir potentiell dann von der fehlerfreien SSL-Nutzung ausschließen würden.

[detix]

Neben dem üblichen "Dieser Verbindung wird nicht vertraut",
kein Problem bei beiden links mit "Fehler Hostname ungleich Zertifikatsname"
wheezy + iceweasel 10.0.2, vorhin frisch aktualisiert.

[shoening]

Hi,

habs gerade mal auf einem Nokia Phone mit Symbian S60 gemacht.
Da werde ich nur gefragt, weil das Zertifikat selbst signiert ist. Nach akzeptieren kommt dann bei
snitest: seite nicht gefunden und bei
snitest2 403 Forbidden

Ciao
Stefan

[feltel]

Hab jetzt mal HTML-Files jeweils hinterlegt, damit der Forbidden-Fehler nicht mehr irreführt.

[guennid]

Hmmm ...

Ganz geschnallt habe ich es zwar immer noch nicht, aber mir dämmert: ich könnte helfen, wenn ich das Ganze mal in "normaler" Schreibung eingäbe, also mit Dopppunkt und Schrägstrichen. Bitte bestätigen, bevor ich wieder Mist baue.

Grüße, Günther

[feltel]

jepp, so war das gedacht.

Interessieren tut mich wie gesagt, ob nur eine erwartete Fehlermeldung (unvertrautes, selbst-signiertes Zertifikat) erscheint oder zwei (die vorherige und zusätzlich "Hostname stimmt nicht mit Namen auf Zertifikat überein"). Wenn nur die eine kommt, dann ist alles okay, wenn beide kommen, dann kann die Browser-/Betriebssystemkombi mit SNI nicht umgehen.

[guennid]

Midori rödelt ein paar Sekunden und schreibt dan "SNI-TEST und SNI-TEST2 auf den Schirm. Sonst habe ich nichts gesehen.

Opera 10.62 hätt' ich noch im Angebot. Den aktualisiere ich nicht mehr, weil opera mich geärgert hat.

[smo]

1. Samsung Galaxy S2 mit Android 2.3.6
1.1 Mitgelieferter Browser ("AppleWebKit/533.1")

• snitest1: OK
  snitest2: nicht OK "Der Name des Standorts entspricht nicht dem Namen des Zertifikats"

1.2 Firefox 10.0.2

• snitest1: OK
  snitest2: OK

2. ipad1 mit ios 5.0.1
2.1 Safari ("AppleWebKit/534.46")

• snitest1: OK
  snitest2: OK

Grüße
smo

[catdog2]

Iceweasel 10.0.2
snitest: The certificate is not trusted because it is self-signed. (Error code: sec_error_untrusted_issuer)
snitest2: The certificate is not trusted because it is self-signed. (Error code: sec_error_untrusted_issuer)

rekonq 0.7.0 + Konqueror (Using KDE Development Platform 4.7.4 (4.7.4))
snitest: NO, there were errors: The certificate is not signed by any trusted certificate authority
snitest2: NO, there were errors: The certificate is not signed by any trusted certificate authority

Chromium 17.0.963.56 (Developer Build 121963 Linux) Debian wheezy/sid
snitest: You attempted to reach ***, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system.
snitest2: You attempted to reach ***, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system.

ELinks 0.12pre5
snitest: Lande ohne Meckern sofort auf der seite
snitest2: Lande ohne Meckern sofort auf der seite

Lynx Version 2.8.8dev.9 (12 Jun 2011)
snitest: Lande ohne Meckern sofort auf der seite
snitest2: SSL-Fehler:host(snitest2***de)!=cert(CN<snitest.***de>)

w3m 0.5.3-5
snitest: self signed certificate: accept? (y/n) --> y --> seite wird angezeigt
snitest2: self signed certificate: accept? (y/n) --> y --> seite wird angezeigt

[Brancaleone]

Lynx 2.8.8dev.12-1:

snitest: Lande ohne Meckern sofort auf der seite
snitest2: Lande ohne Meckern sofort auf der seite

[deberik]

Debian Wheezy, Konqueror 4.6.5: snitest ok, snitest2 nicht OK
Android 2.3.5, mitgelieferter Browser: snitest ok, snitest2 nicht OK

Edit: Genauer aufgeschlüsselt

[DeletedUserReAsG]

Wheezy, Konqueror 4.6.5: snitest okay/snitest2 nicht okay (CN=snitest.***.de)

cu,
niemand

[jkoerner]

Dillo-3.0 auf testing zeigt nach Akzeptierung des Zertifikats beide Seiten korrekt an.

[feltel]

Kann es echt sein, das der Konqueror noch kein SNI kann? Ist ja wunderlich.

[catdog2]

Kann es echt sein, das der Konqueror noch kein SNI kann? Ist ja wunderlich.

Kann er doch, zumindest in einer halbwegs aktuellen Version.

[spiralnebelverdreher]

Android 1.6
Mitgelieferter Browser: Beides OK
Opera Mini (Version 6.5.27452): Beides OK

[Zuujin]

Android 2.3.7 mit DefaultBrowser AppleWebKit/533.1
snitest1 OK
snitest2 OK

[hikaru]

Nokia N900:
Beide snitests erfolgreich für Opera Mobile 11.50.14, MicroB 21.2011.38-1.002 und Firefox 5.0.