neue SSL-Certs

[feltel]

Da die aktuellen SSL-Certs Ende des Monats ausgelaufen wären, habe ich neue erstellt. Ich habe die Gelegenheit genutzt, gleich SHA256-Certs statt SHA1-Certs zu beantragen. Chrome und damit auch Chromium lässt ja aus gutem Grund die SHA1-Unterstützung so langsam auslaufen (siehe http://googleonlinesecurity.blogspot.de ... sha-1.html).

Die Zertifikate sind bis 16. bzw. 17.03.2016 gültig und weisen je nach Domain die folgenden SHA256-Prüfsummen auf:

debianforum.de:

Code: Alles auswählen

6D 8B 3F 1F B2 63 54 6C C2 F5 A9 0B 79 07 A4 76 EB EB 44 74 54 9B 8D DB 55 B0 C5 15 95 B3 BC D6

jabber.debianforum.de:

Code: Alles auswählen

7E FE 64 79 56 E1 BE 57 5F CD A9 91 84 D5 B9 74 7F C0 77 15 2F E5 A0 AF 67 62 37 A6 DE 08 38 CB

mirror.debianforum.de:

Code: Alles auswählen

D0 FB F3 6F 1B 41 A9 04 3C 2B 6C 01 08 CB 0B AC 7F C1 20 C3 0F F9 9F 3D 21 99 29 1F 97 48 4D BB

planet.debianforum.de:

Code: Alles auswählen

69 9E AA 4C 4D 3B 1B 38 AE 43 37 09 88 27 D9 C1 C0 28 47 29 9D 27 F1 E2 F4 B5 B9 10 86 4C 67 ED

wiki.debianforum.de:

Code: Alles auswählen

97 87 FF 81 13 10 EB 29 DF 63 64 5B 16 8B AB 78 53 2E 3A AC E2 D1 6A 37 D8 3D 9C A6 C3 E8 31 1C

Mit den neuen Certs erreichen wir ein zumindest fürs Ego gutes A+ beim SSLLabs-Check: https://www.ssllabs.com/ssltest/analyze ... .de&latest

Wie immer bei solchen Cert-Rollovers kann es vorkommen, das die neuen Certs noch nicht auf den sog. OCSP-Zertifikats-Widerrufsservern eingetragen sind, während die alten Certs schon widerrufen sind. Firefox prüft gegen einen OCSP-Server, Chrome/Chromium tut dies per se nicht. Dies ist eine temporäre Situation, die sich von selbst innnerhalb weniger Stunden auflöst.

[Cae]

Was ist mit jabber.debianforum.de?

Code: Alles auswählen

$ </dev/null openssl s_client -starttls xmpp -connect debianforum.de:5222 | openssl x509 -noout -fingerprint -sha1
...
SHA1 Fingerprint=98:58...
$ </dev/null openssl s_client -starttls xmpp -connect debianforum.de:5222 | openssl x509 -noout -fingerprint -sha256
...
SHA256 Fingerprint=7E:FE...
$ 

Das passt zu irgendwie gar nichts.

Gruss Cae

[KBDCALLS]

Opera 12.60 mag das Zertikat immr noch nicht.

Code: Alles auswählen

Es ist nicht möglich die sichere Transaktion abzuschließen

Die von Ihnen aufgerufene Adresse http://debianforum.de/ ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.

Sichere Verbindung: Schwerer Fehler (300)

https://debianforum.de/

Das Zertifikat ist nicht vom angeblichen Aussteller bekannt. Es ist nicht gültig. Im schlimmsten Fall kann es von Kriminellen zu betrügerischen Zwecken verwendet werden. Der Eigentümer der Website muss das Zertifikat sofort ersetzen.
Stellen Sie sicher, dass eine Verbindung mit dem Internet besteht und überprüfen Sie, ob andere Programme mit derselben Verbindung funktionieren.
Überprüfen Sie bitte, dass Ihre Einstellungen evtl. zusätzlich installierter Internet-Sicherheitsprogramme korrekt sind, damit das normale Surfen im Web nicht behindert wird.
Wenn Sie sich hinter einer Firewall in einem lokalen Netzwerk befinden und Sie meinen, dass dieses die Probleme verursachen könnte, fragen Sie Ihren System-Administrator.
Versuchen Sie nach dem Drücken der Taste F12 und dem Deaktivieren der Proxyserver diese Seite neu zu laden, außer Sie wissen genau, dass Sie diesen Proxy verwenden müssen, um sich mit dem Internet zu verbinden.
Benötigen Sie Hilfe?
Rufen Sie Operas Hilfe auf.
Rufen Sie Operas Online-Supportseiten auf.

Mit Firefox gehts mittlerweile.

[feltel]

Das passt zu irgendwie gar nichts.

Sorry, den Host hatte ich oben in der Liste vergessen. Das Cert ist ebenfalls neu und hat den SHA256-Fingerprint:

Code: Alles auswählen

7E:FE:64:79:56:E1:BE:57:5F:CD:A9:91:84:D5:B9:74:7F:C0:77:15:2F:E5:A0:AF:67:62:37:A6:DE:08:38:CB

[eggy]

Mit Pidgin gibts auch noch Verbindungsprobleme:
98:58... - Ausstellerzertifikat konnte nicht gefunden werden.

[feltel]

Ich kann den Fehler nachvollziehen. Mein Gajim meldet "Unable to verify the first certificate". Mein Fehler. Das Intermediate-Cert von StartSSL fehlte noch im PEM-File das der eJabberd nutzt. Damit konnte der Jabber-Client die Zertifikatskette nich nachvollziehen.Ist jetzt behoben.

[eggy]

Danke, geht hier auch wieder.