neues CAcert.org SSL-Zertifikat mit Subject-Alt-Names

[feltel]

Ich habe für das Forum und alle dazugehörigen Subdomains ein neues CAcert SSL-Zertifikat (ein 4096-bittiges) erzeugt, das per Subject-Alt-Name-Eintrag alle von uns genutzten Domains in einem Zertifikat vereint. Ich werde es jetzt auf allen Apache VHosts eintragen. Es hat die folgenden Sicherheitsmerkmale zur Verifikation:

SHA256-Fingerprint:

Code: Alles auswählen

C4 C6 1C 62 E1 5B 8E DF 49 D9 FC E6 A2 3E 6D D0 63 71 D4 7B 48 A9 3A 53 8E 93 A2 6C A1 89 70 BD

SHA1-Fingerprint:

Code: Alles auswählen

7F 4C 5E 6C 79 97 AD 53 92 FF C4 EA 02 B3 FF 3D DF CD E4 38

Gültig ist das Zertifikat vom 20.02.2014 bis 20.02.2016.

[Patsche]

Danke für die Info!

[hias]

Hallo feltel,

genau dieses SSL-Zertifikat macht mir jetzt Probleme. Chromium weigert sich seit dem Update auf Version 33.0.1750.152 Debian jessie/sid (256984), die Seite zu laden. Die Fehlermeldung enthält u.a. folgende Informationen:

Code: Alles auswählen

debianforum.de hat Chrome zur Blockierung fehlerhafter Zertifikate aufgefordert. Das Zertifikat, das Chrome während dieses Verbindungsversuchs erhalten hat, weist jedoch einen Fehler auf.
Fehlertyp: HSTS failure
Empfänger: debianforum.de
Aussteller: CAcert Class 3 Root
Hashes des öffentlichen Schlüssels:

Tritt das bei Dir auch auf ? Kann ich das irgendwie vermeiden ? Die anderen Browser auf meinem System (w3m und uzbl) funktionieren tadellos.

Gruß Hias

[niesommer]

Hallo,
Habe das gleiche Problem allerdings mit Iceweasel, ich kann die Seite nicht mehr aufrufen. Mit chromium gehts. Benutze gerade Jessie, mal sehen wenn ich später mein Wheezy benutze wie es da aussieht.
Screenshot
Was kann ich tun um das abzustellen?

[shoening]

Hi,

den Grund findet ihr in diesem Thread [1]

Oder hier nochmal erläutert: Debian vertraut cacert nicht mehr - so dass das cacert.org Wurzelzertifikat aus den
Truststores, die über das Debian Paketsystem kommen, entfernt wurde.

Man kann sich, wenn man persönlich cacert weiterhin vertraut, deren Zertifikat herunterladen [2] und in den jeweiligen
Truststore installieren.

Systemweit gibt es da /etc/ssl/certs

Im Iceweasel z.B. im Menu: Edit / Preferences / Advanced / Certificates / View Certificates / Import

Ciao
Stefan


[1] viewtopic.php?f=1&t=148415
[2] http://www.cacert.org/index.php?id=3

[niesommer]

@shoening
vielen dank
Problem gelöst dank deiner Infos

[feltel]

Insgesamt ist die Debian/CACert-Geschichte relativ unschön, vorallem für den Normal-User, der dann mit Fehlermeldungen konfrontiert wird, die Tags zuvor noch nicht kamen. Ich bin zwar ggü. der Zertifikate-Industrie sehr kritisch eingestellt, aber scharf am überlegen, ob man das nicht zwangsweise früher oder später doch machen muss. Das CACert überraschenderweise doch noch von Mozilla aufgenommen wird, wird wohl so schnell nicht passieren.

Ich hab mir jetzt mal für meine Domain ein freies Cert von startssl.com geholt. Der Enroll-Prozess ist machbar, allerdings sind die Zertifikate nur 1 Jahr gültig und keine SAN-Zertifkate. D.h. man müsste für jede Subdomain ein eigenes Cert beantragen. Eine andere Variante wäre kostenpflichtig, mit 59 Dollar für 2 Jahre aber handlebar.

[catdog2]

Insgesamt ist die Debian/CACert-Geschichte relativ unschön

Vieleicht (hoffentlich) aber auch genau der Arschtritt dens gebraucht hat um aus der endlosen Stagnation zu kommen: http://www.heise.de/netze/meldung/CAcer ... 56226.html

[feltel]

Update: Dieses Zertifikat ist aufgrund der aktuellen CACert-Problematik aktuell nicht im Einsatz. Infos zum aktuell verwendetem Zertifikat.

[Patsche]

Ich bekomme jetzt folgende Seite über https:



Mit http klappt es natürlich....

[cirrussc]

Hi,

den Grund findet ihr in diesem Thread [1]

Oder hier nochmal erläutert: Debian vertraut cacert nicht mehr - so dass das cacert.org Wurzelzertifikat aus den
Truststores, die über das Debian Paketsystem kommen, entfernt wurde.

Man kann sich, wenn man persönlich cacert weiterhin vertraut, deren Zertifikat herunterladen [2] und in den jeweiligen
Truststore installieren.

Systemweit gibt es da /etc/ssl/certs

Im Iceweasel z.B. im Menu: Edit / Preferences / Advanced / Certificates / View Certificates / Import

Ciao
Stefan


[1] viewtopic.php?f=1&t=148415
[2] http://www.cacert.org/index.php?id=3

Funktioniert bei mir nicht mit Iceweasel, alles unverändert.

Und http wird automatisch zu https.
Nur Konqueror macht sich da nix draus.

[feltel]

Ich bekomme jetzt folgende Seite über https:

http://blog.tausys.de/2013/10/27/starts ... er-fehler/

Demzufolge müsstest Du ohne Fehlermeldung mit dem Iceweasel auf https://feltel.de kommen, denn dort hab ich ein ähnliches Cert gestern Abend eingespielt.

[whiizy]

Ich bekomme jetzt folgende Seite über https:

http://blog.tausys.de/2013/10/27/starts ... er-fehler/

Demzufolge müsstest Du ohne Fehlermeldung mit dem Iceweasel auf https://feltel.de kommen, denn dort hab ich ein ähnliches Cert gestern Abend eingespielt.

Hallo,

ich war zwar jetzt nicht direkt gefragt worden, aber es ist zumindest bei mir so, wie Du sagst. Mit iceweasel kommt aktuell bei https://debianforum.de noch die abgebildete Fehlermeldung. Bei https://feltel.de funktioniert es schon wieder.

Danke für den Hinweis.

[Patsche]

Alles wieder im Lot jetzt. https kann wieder genutzt werden.

[feltel]

Gut. Die Certs für das Wiki, den Planet usw. sind erzeugt und einspielen werde ich sie dann morgen, um dann den OCSP-Delay wenigstens bei diesen Certs zu umgehen.

[ctwx]

Kurze Frage: Welches wird denn nun genutzt? Ich habe hier im Firefox nun alle die ich gefunden habe mit debianforum gelöscht und trotzdem wird noch eins von StartCom geladen, mit den folgenden Daten:

SHA1-Fingerabdruck: D7:64:D2:DC:C7:78:F9:2F:6B:79:D7:D5:19:B1:54:50:01:D1:25:5E
MD5-Fingerabdruck: FF:98:2B:1F:3A:C6:B1:02:0F:A2:74:86:FE:6E:E7:A0

Und es ist gültig bis 30.03.2015. Ist das nun aktuell oder nun doch das von CACert?

[Patsche]

Das Start-Zertifikat ist seit heute aktuell. CaCert wurde jetzt ersetzt.

[rendegast]

Vieleicht (hoffentlich) aber auch genau der Arschtritt dens gebraucht hat um aus der endlosen Stagnation zu kommen:

So einen hat kernel.org 2011-08 bekommen (zumindest zu der Zeit entdeckt),
und sich bis heute nicht erholt, unvollständige Repos
https://www.kernel.org/pub/linux/kernel/v2.6/,
nicht wieder aufgebaute Struktur der Ländermirrors.