debianforum.de

[feltel]

Auf einem noch zu bestellenden neuen Rootserver würden wir per se nur noch eine IP zugeteilt bekommen, aktuell haben wir ein /248iger-Netz und nutzen es für die verschiedenen Dienste auch aus. Die Beschränkung bei SSL-Hosts 1 IP = 1 Cert = 1 Host galt lange Zeit, jetzt gibt es jedoch seit einiger Zeit SNI, was diese Beschränkung aufhebt. Leider unterstützen nicht alle Systeme SNI, vorallem Altsysteme aus Redmond.

Könntet ihr bitte mal, wenn ihr die Möglichkeit habt die beiden unten stehenden URLs aufrufen und schauen, ob ihr neben dem (erwarteten) Fehler wegen eines selbstsignierten Certs auch den Fehler Hostname ungleich Zertifikatsname bekommt. Schön wäre es, wenn ihr hier mit Betriebssystem- und Browserangabe berichten könntet. Testet bitte auch auf Macs, i-Devices, Androiden und wo auch immer.

Test-URLs (so aufgeschrieben, damit Onkel Google nicht vorbeikommt):

https snitest_debianforum_de
SHA1-Fingerprint: F9 81 D3 C5 DB 21 18 EF 99 9A B5 A4 8F F6 D4 88 DB B1 C8 BE; gültig ab 12.12.2011

https snitest2_debianforum_de
SHA1-Fingerprint: DF 81 E9 33 CB 43 3A 26 28 DE 96 47 48 80 39 DD 5D 96 45 CF; gültig ab 04.03.2012

[feltel]

Debian Wheezy, Chromium 17.0.963.56 OK
iOS 4.3.3, Safari ? OK
MacOS 10.6.8, Firefox 10.0.2 OK
MacOS 10.6.8, Safari 5.1.2 OK
MacOS 10.7.3, Firefox 10.0.2 OK
MacOS 10.7.3, Safari 5.1.3 OK
Windows 7 SP1, IE8 OK
Windows 7 SP1, Firefox 10.0.2 OK
Windows 7 SP1, SRWare Iron 16.0.950.0 OK
Windows Server 2003 R2 SP2, IE8 nicht OK
Windows Server 2008 R2 SP1, IE8 OK
Windows XP SP3, Firefox 10.0.2 OK
Windows XP SP3, IE8 nicht OK
Windows XP SP3, SRWare Iron 17.0.1000.0 OK

[uname]

Mit Debian Squeeze und Standard-Iceweasel gibt es nur die normale Fehlermeldung für das selbstsignierte Zertikat. Chromium macht keinen großen Unterschied und sagt einfach es ist unsicher.

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen. Ich bin auch kein Fan von der Politik der SSL-Aussteller, aber die SSL-Warnungen und vor allem die Bearbeitung innerhalb der Webbrowser ist auch schrecklich. Vielleicht mal drüber nachdenken. Wobei SSL wird sowieso überbewertet. Die Leute fühlen sich sicher und werden dann bereits am Anfang der Ende-zu-Ende-Verschlüsselung (Client) durch Windows-Schadsoftware ausgehorcht, so dass das SSL witzlos wird. Siehe Phishing beim Internet-Banking.

[4A4B]

Unter Debian Squeeze mit Opera 11.61 sowie unter FreeBSD 8.2 mit Opera 11.61 erhalte ich nur die Fehlermeldung "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

[mindX]

Squeeze-amd64, Opera 11.61: "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Squeeze-amd64, ELinks: "You don't have permission to access / on this server."

Squeeze-amd64, Chromium 6.0.472.63:"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

Squeeze-amd64, Iceweasel 10.0.2: "Dieser Verbindung wird nicht vertraut.... snitest.debianforum.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (Fehlercode: sec_error_untrusted_issuer)"

[feltel]

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen.

Das selbstsignierte Cert ist bloß für den Test. Auf dem Produktivsystem wird dann wie hier bereits am laufen ein Cert von CAcert benutzt werden.

[guennid]

Ich weiß zwar nicht, was ich da gemacht habe, aber vielleicht hilft's dir ja:

squeeze amd64, midori 0.2.4

ich habe "https snitest_debianforum_de" in midori eingegeben und erhielt ohne irgendeine weitere Meldung eine google-Liste mit deinem thread als einzigen Treffer. Same procedure mit "https snitest2_debianforum_de".

Grüße, Günther

[feltel]

Neee, so war das nicht gemeint.

Das "https snitest usw". ist eine maskierte URL ohne Doppelpunkt und Doppelslash und Unterstrichen statt Punkten. Ich hab das bloß so geschrieben, damit die Adresse nicht in den Googlecache kommt. Die beiden Adressen habe ich eingerichtet, um herauszufinden auf welchen Betriebssystem-/Browserkombinationen es zu Fehlern kommt, um abschätzen zu können, wieviele wir potentiell dann von der fehlerfreien SSL-Nutzung ausschließen würden.

[detix]

Neben dem üblichen "Dieser Verbindung wird nicht vertraut",
kein Problem bei beiden links mit "Fehler Hostname ungleich Zertifikatsname"
wheezy + iceweasel 10.0.2, vorhin frisch aktualisiert.

[shoening]

Hi,

habs gerade mal auf einem Nokia Phone mit Symbian S60 gemacht.
Da werde ich nur gefragt, weil das Zertifikat selbst signiert ist. Nach akzeptieren kommt dann bei
snitest: seite nicht gefunden und bei
snitest2 403 Forbidden

Ciao
Stefan

[feltel]

Hab jetzt mal HTML-Files jeweils hinterlegt, damit der Forbidden-Fehler nicht mehr irreführt.

[guennid]

Hmmm ...

Ganz geschnallt habe ich es zwar immer noch nicht, aber mir dämmert: ich könnte helfen, wenn ich das Ganze mal in "normaler" Schreibung eingäbe, also mit Dopppunkt und Schrägstrichen. Bitte bestätigen, bevor ich wieder Mist baue.

Grüße, Günther

[feltel]

jepp, so war das gedacht.

Interessieren tut mich wie gesagt, ob nur eine erwartete Fehlermeldung (unvertrautes, selbst-signiertes Zertifikat) erscheint oder zwei (die vorherige und zusätzlich "Hostname stimmt nicht mit Namen auf Zertifikat überein"). Wenn nur die eine kommt, dann ist alles okay, wenn beide kommen, dann kann die Browser-/Betriebssystemkombi mit SNI nicht umgehen.

[guennid]

Midori rödelt ein paar Sekunden und schreibt dan "SNI-TEST und SNI-TEST2 auf den Schirm. Sonst habe ich nichts gesehen.

Opera 10.62 hätt' ich noch im Angebot. Den aktualisiere ich nicht mehr, weil opera mich geärgert hat.

[smo]

1. Samsung Galaxy S2 mit Android 2.3.6
1.1 Mitgelieferter Browser ("AppleWebKit/533.1")

snitest1: OK
snitest2: nicht OK "Der Name des Standorts entspricht nicht dem Namen des Zertifikats"

1.2 Firefox 10.0.2

snitest1: OK
snitest2: OK

2. ipad1 mit ios 5.0.1
2.1 Safari ("AppleWebKit/534.46")

snitest1: OK
snitest2: OK

Grüße
smo