SSL Problem

[Apollo013]

Hallo,

ich habe auf meinen LXC WordPress installiert und mein Zertifikat wird irgendwie nicht erkannt.
Fehlermeldung Verbindung nicht sicher, Teile dieser Seite sind nicht sicher

Woran liegt es?

LG

[4A4B]

Teile dieser Seite sind nicht sicher

Sind einzelne Dateien (Bilder, CSS-, JavaScript-Dateien etc.) über http:// statt über https:// eingebunden?

Du kannst dir im Browser anzegien lassen, welche Dateien über eine unverschlüsselte Verbindung geladen werden, z.B. im Firefox-Inspektor über den Netzwerk-Tab

[debilian]

kannst du z.B. hier testen: https://www.ssllabs.com/ssltest/

[heisenberg]

Bitte nimm Dir nochmal 15 Minuten Zeit und überlege, welche Informationen alles notwendig sein könnten, damit man Dir überhaupt helfen kann und schreibe einen ausführlichen und gut formatierten Ergänzungsbeitrag.

[Apollo013]

Ich benutze auf meinem Server LXC, die ich jeweilige Domain weiterleitet. Habe mir eine Domain für Testzwecke genommen (exxq.de).

Auf dem Server ist
- Postfix und Dovecot
- Nginx zu weiterleiten auf die LXC
- Firehol mit Ipsets

Im LXC habe ich
-Postfix
-Apache2
- je nach Domäne in diesen Fall WordPress

Server

Code: Alles auswählen

> cat /etc/nginx/sites-available/exxq.de           
upstream exxq.de {
    server 10.0.3.33;
}

server {
    server_name exxq.de;

    location / {
        return 301 http://www.exxq.de$request_uri;
    }

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/exxq.de/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/exxq.de/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
    server_name www.exxq.de;

    location / {
        proxy_pass http://exxq.de;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Host $server_name;
        proxy_set_header Host $host;
        proxy_ignore_client_abort on;
        client_max_body_size 0;

        proxy_connect_timeout 3600s;
        proxy_read_timeout 3600s;
        proxy_send_timeout 3600s;
        send_timeout 3600s;
    }

    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/www.exxq.de/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/www.exxq.de/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}


server {
    if ($host = exxq.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen 80;
    server_name exxq.de;
    return 404; # managed by Certbot


}

server {
    if ($host = www.exxq.de) {
        return 301 https://$host$request_uri;
    } # managed by Certbot


    listen 80;
    server_name www.exxq.de;
    return 404; # managed by Certbot


}

Code: Alles auswählen

> cat /etc/firehol/firehol.conf

version 6
wan="eth0"
server_ssh_ports="tcp/xxxx"



# IPv4 Whitelist und Blacklist
ipset4 create whitelist hash:net
ipset4 addfile whitelist whitelist.netset

ipset4 create blacklist hash:net
ipset4 addfile blacklist blacklist.netset


# IPv4 dnsbl
ipset4 create dnsbl hash:ip timeout $[86400 * 14] maxelem 500000 prevent_reset_on_restart comment
blacklist4 full inface "${wan}" ipset:dnsbl \
    except src ipset:whitelist

# IPv4 FireHOL Levels
for x in firehol_level1 firehol_level2 firehol_level3 firehol_level4
do
    ipset4 create ${x} hash:net
    ipset4 addfile ${x} ipsets/${x}.netset
    blacklist4 full inface "${wan}" ipset:${x} \
        except src ipset:whitelist
done

# IPv4 blocklist.de und andere spezifische ipsets
for x in blocklist_de_bruteforce blocklist_de_apache blocklist_de_ssh blocklist_de_mail blocklist_de_sip dm_tor  
do
    ipset4 create ${x} hash:ip
    ipset4 addfile ${x} ipsets/${x}.ipset
    blacklist4 full inface "${wan}" ipset:${x} \
        except src ipset:whitelist
done

# IPv4 Länderbasierte ipsets
for x in ipip_continent_as ipip_continent_af ipip_country_ru ipip_country_ua ipip_country_br 
do
    ipset4 create ${x} hash:net
    ipset4 addfile ${x} ipsets/ipip_country/${x}.netset
    blacklist4 full inface "${wan}" ipset:${x} \
        except src ipset:whitelist
done

# IPv4 Interface
interface4 any world
    policy return
    protection strong
    server "ssh dns echo icmp dhcp" accept
    server "http https httpalt" accept
    server "smtp smtps submission imaps " accept
    server "rtp sip stun" accept
    server "ftp" accept

    client all accept


# LXC NAT und Routing für IPv4
router4 lxc inface lxcbr0 outface "${wan}"
    masquerade
    server "ftp rtp sip stun" accept
    client all accept
    route all accept

LXC
Das ist die Config auf dem LXC (Apache)

Code: Alles auswählen

> cat /etc/apache2/sites-available/exxq.de.conf
<VirtualHost *:80>
    ServerName exxq.de
    ServerAlias www.exxq.de
    DocumentRoot /var/www/html/exxq.de

    <Directory /var/www/html/exxq.de>
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

    ErrorLog /var/www/html/exxq.de-error.log
    CustomLog /var/www/html/exxq.de-access.log combined
</VirtualHost>

Ihr könnt jetzt das selbst überprüfen, da ich die Domäne oben angegeben habe.

Die Logs Dateien auf dem Server (nginx) und LXC (Apache) sind leer.

Ich hoffe, dass die Informationen euch weiter helfen.

LG.

[heisenberg]

Also die SSL-Konfiguration scheint zu passen:

Code: Alles auswählen

$ ssl_check.php -connect www.exxq.de:443 -servername www.exxq.de

CN     : www.exxq.de
Start  : Sat, 20 Jul 2024 10:41:59 +0200
End    : Fri, 18 Oct 2024 10:41:58 +0200
Issuer : E6
Valid  : 0 (ok)

Alternate Names

        www.exxq.de

$ ssl_check.php -connect www.exxq.de:443 -servername exxq.de                                        

CN     : exxq.de
Start  : Sat, 20 Jul 2024 10:41:52 +0200
End    : Fri, 18 Oct 2024 10:41:51 +0200
Issuer : E5
Valid  : 0 (ok)

Alternate Names

        exxq.de

Dann also als nächstes das prüfen, was 4A4B empfohlen hat: Einbindung unsicherer Elemente (http://) in einer https - Seite.

D. h. Quellcode der Seite im Browser nach Inhaltselementen durchsuchen, die per http:// eingebunden sind.

Möglicherweise ist die Basis-URL in Deiner Anwendung fälschlicherweise auf http://... und auf https://... konfiguriert. (Die Webseite ist voll davon!)

Das SSL-Check-Script: https://codeberg.org/megabert/script-pa ... -ssl-check

[Apollo013]

Ich habe auch außerhalb LXC installiert und es funktioniert einwandfrei. Da frage ich mich, warum dieselbe Installation im LXC nicht funktioniert.

LG

[heisenberg]

Der Fehler ist klar. Siehe letzter Beitrag von mir.

[Apollo013]

Dass ich das jetzt richtig verstehe.

Möglicherweise ist die Basis-URL in Deiner Anwendung fälschlicherweise auf http://... und auf https://... konfiguriert. (Die Webseite ist voll davon!)

Ich habe in der Datenbank geändert.

Code: Alles auswählen

+-------------+---------------------+
| option_name | option_value        |
+-------------+---------------------+
| home        | https://www.exxq.de |
| siteurl     | https://www.exxq.de |
+-------------+---------------------+

Das SSL-Check-Script: https://codeberg.org/megabert/script-pa ... -ssl-check

Dein Script habe ich im Home Verzeichnis erstellt.
https://www.exxq.de/php-ssl-check.php

Meine Vermutung ist, dass WordPress stellt fest, dass SSL nicht vorhanden ist oder fehlerhaft ist und installiert manche Sachen ohne HTTPS oder sowas in der Art.
Weil ich habe die Installation auf dem Server durchgeführt und es hat alles funktioniert ohne Probleme, nur wenn ich es im LXC installiere gibt es Probleme.

[4A4B]

Die Anpassung in der Datenbank ist schon mal gut. Allerdings werden damit wohl nicht alle bestehende URLs mit angepasst. Für WordPress kann ich das Plugin Better Search Replace empfehlen, um nachträglich die Basis der verbliebenen internen http:// URLs zu korrigieren.

[Apollo013]

Ich habe mehrere Konfigurationen ausprobiert. Da es nach jeder Installation unter WP in der Einstellungen WordPress-Adresse (URL) und Website-Adresse (URL) den der Eintrag http:// hatte, habe ich
unter Nginx und Apache Zertifikate erstellt. Dazu habe ich die Weiterleitung auf www deaktiviert.

Es hat funktioniert, nach der Installation hat WP sich richtig installiert, die Einstellungen WordPress-Adresse (URL) und Website-Adresse (URL) wurden auf https:// gesetzt.

Nach meiner Einschätzung, da ich in mehreren Konfigurationen Weiterleitungsfehler hatte, könnte sein, dass durch die Einträge Redirect in Nginx hat WP das wieder weitergeleitet und damit den Fehler verursacht.

Danke für die Hilfe

LG