für neuen Rootserver: bitte SSL-Test machen und berichten

Neues rund um debianforum.de
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

für neuen Rootserver: bitte SSL-Test machen und berichten

Beitrag von feltel » 04.03.2012 07:34:51

Auf einem noch zu bestellenden neuen Rootserver würden wir per se nur noch eine IP zugeteilt bekommen, aktuell haben wir ein /248iger-Netz und nutzen es für die verschiedenen Dienste auch aus. Die Beschränkung bei SSL-Hosts 1 IP = 1 Cert = 1 Host galt lange Zeit, jetzt gibt es jedoch seit einiger Zeit SNI, was diese Beschränkung aufhebt. Leider unterstützen nicht alle Systeme SNI, vorallem Altsysteme aus Redmond.

Könntet ihr bitte mal, wenn ihr die Möglichkeit habt die beiden unten stehenden URLs aufrufen und schauen, ob ihr neben dem (erwarteten) Fehler wegen eines selbstsignierten Certs auch den Fehler Hostname ungleich Zertifikatsname bekommt. Schön wäre es, wenn ihr hier mit Betriebssystem- und Browserangabe berichten könntet. Testet bitte auch auf Macs, i-Devices, Androiden und wo auch immer.

Test-URLs (so aufgeschrieben, damit Onkel Google nicht vorbeikommt):

https snitest_debianforum_de
SHA1-Fingerprint: F9 81 D3 C5 DB 21 18 EF 99 9A B5 A4 8F F6 D4 88 DB B1 C8 BE; gültig ab 12.12.2011

https snitest2_debianforum_de
SHA1-Fingerprint: DF 81 E9 33 CB 43 3A 26 28 DE 96 47 48 80 39 DD 5D 96 45 CF; gültig ab 04.03.2012

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 07:39:31

Debian Wheezy, Chromium 17.0.963.56 OK
iOS 4.3.3, Safari ? OK
MacOS 10.6.8, Firefox 10.0.2 OK
MacOS 10.6.8, Safari 5.1.2 OK
MacOS 10.7.3, Firefox 10.0.2 OK
MacOS 10.7.3, Safari 5.1.3 OK
Windows 7 SP1, IE8 OK
Windows 7 SP1, Firefox 10.0.2 OK
Windows 7 SP1, SRWare Iron 16.0.950.0 OK
Windows Server 2003 R2 SP2, IE8 nicht OK
Windows Server 2008 R2 SP1, IE8 OK
Windows XP SP3, Firefox 10.0.2 OK
Windows XP SP3, IE8 nicht OK
Windows XP SP3, SRWare Iron 17.0.1000.0 OK

uname
Beiträge: 12040
Registriert: 03.06.2008 09:33:02

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von uname » 04.03.2012 08:11:41

Mit Debian Squeeze und Standard-Iceweasel gibt es nur die normale Fehlermeldung für das selbstsignierte Zertikat. Chromium macht keinen großen Unterschied und sagt einfach es ist unsicher.

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen. Ich bin auch kein Fan von der Politik der SSL-Aussteller, aber die SSL-Warnungen und vor allem die Bearbeitung innerhalb der Webbrowser ist auch schrecklich. Vielleicht mal drüber nachdenken. Wobei SSL wird sowieso überbewertet. Die Leute fühlen sich sicher und werden dann bereits am Anfang der Ende-zu-Ende-Verschlüsselung (Client) durch Windows-Schadsoftware ausgehorcht, so dass das SSL witzlos wird. Siehe Phishing beim Internet-Banking.

Benutzeravatar
4A4B
Beiträge: 925
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von 4A4B » 04.03.2012 09:13:26

Unter Debian Squeeze mit Opera 11.61 sowie unter FreeBSD 8.2 mit Opera 11.61 erhalte ich nur die Fehlermeldung "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Benutzeravatar
mindX
Beiträge: 1541
Registriert: 27.03.2009 19:17:28
Lizenz eigener Beiträge: GNU General Public License

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von mindX » 04.03.2012 09:25:39

Squeeze-amd64, Opera 11.61: "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Squeeze-amd64, ELinks: "You don't have permission to access / on this server."

Squeeze-amd64, Chromium 6.0.472.63:"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

Squeeze-amd64, Iceweasel 10.0.2: "Dieser Verbindung wird nicht vertraut.... snitest.debianforum.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (Fehlercode: sec_error_untrusted_issuer)"

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 09:28:59

uname hat geschrieben:Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen.
Das selbstsignierte Cert ist bloß für den Test. Auf dem Produktivsystem wird dann wie hier bereits am laufen ein Cert von CAcert benutzt werden.

guennid

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 10:49:27

Ich weiß zwar nicht, was ich da gemacht habe, aber vielleicht hilft's dir ja: 8)

squeeze amd64, midori 0.2.4

ich habe "https snitest_debianforum_de" in midori eingegeben und erhielt ohne irgendeine weitere Meldung eine google-Liste mit deinem thread als einzigen Treffer. Same procedure mit "https snitest2_debianforum_de".

Grüße, Günther

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 10:51:59

Neee, so war das nicht gemeint. :-)

Das "https snitest usw". ist eine maskierte URL ohne Doppelpunkt und Doppelslash und Unterstrichen statt Punkten. Ich hab das bloß so geschrieben, damit die Adresse nicht in den Googlecache kommt. Die beiden Adressen habe ich eingerichtet, um herauszufinden auf welchen Betriebssystem-/Browserkombinationen es zu Fehlern kommt, um abschätzen zu können, wieviele wir potentiell dann von der fehlerfreien SSL-Nutzung ausschließen würden.

Benutzeravatar
detix
Beiträge: 1699
Registriert: 07.02.2007 18:51:28
Wohnort: MK

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von detix » 04.03.2012 11:02:53

Neben dem üblichen "Dieser Verbindung wird nicht vertraut",
kein Problem bei beiden links mit "Fehler Hostname ungleich Zertifikatsname"
wheezy + iceweasel 10.0.2, vorhin frisch aktualisiert.
Gruß an alle Debianer, und immer daran denken:
Macht ohne Haftung funktioniert nicht!

Benutzeravatar
shoening
Beiträge: 897
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von shoening » 04.03.2012 11:07:44

Hi,

habs gerade mal auf einem Nokia Phone mit Symbian S60 gemacht.
Da werde ich nur gefragt, weil das Zertifikat selbst signiert ist. Nach akzeptieren kommt dann bei
snitest: seite nicht gefunden und bei
snitest2 403 Forbidden

Ciao
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 11:13:01

Hab jetzt mal HTML-Files jeweils hinterlegt, damit der Forbidden-Fehler nicht mehr irreführt.

guennid

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 11:30:33

Hmmm ...

Ganz geschnallt habe ich es zwar immer noch nicht, aber mir dämmert: ich könnte helfen, wenn ich das Ganze mal in "normaler" Schreibung eingäbe, also mit Dopppunkt und Schrägstrichen. Bitte bestätigen, bevor ich wieder Mist baue. :wink:

Grüße, Günther

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 11:31:25

jepp, so war das gedacht. :P

Interessieren tut mich wie gesagt, ob nur eine erwartete Fehlermeldung (unvertrautes, selbst-signiertes Zertifikat) erscheint oder zwei (die vorherige und zusätzlich "Hostname stimmt nicht mit Namen auf Zertifikat überein"). Wenn nur die eine kommt, dann ist alles okay, wenn beide kommen, dann kann die Browser-/Betriebssystemkombi mit SNI nicht umgehen.

guennid

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 11:38:01

Midori rödelt ein paar Sekunden und schreibt dan "SNI-TEST und SNI-TEST2 auf den Schirm. Sonst habe ich nichts gesehen.

Opera 10.62 hätt' ich noch im Angebot. Den aktualisiere ich nicht mehr, weil opera mich geärgert hat. :cry:

smo
Beiträge: 489
Registriert: 19.12.2005 16:34:40
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von smo » 04.03.2012 12:19:36

1. Samsung Galaxy S2 mit Android 2.3.6
1.1 Mitgelieferter Browser ("AppleWebKit/533.1")
  • snitest1: OK
    snitest2: nicht OK "Der Name des Standorts entspricht nicht dem Namen des Zertifikats"
1.2 Firefox 10.0.2
  • snitest1: OK
    snitest2: OK
2. ipad1 mit ios 5.0.1
2.1 Safari ("AppleWebKit/534.46")
  • snitest1: OK
    snitest2: OK
Grüße
smo

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von catdog2 » 04.03.2012 14:24:24

Iceweasel 10.0.2
snitest: The certificate is not trusted because it is self-signed. (Error code: sec_error_untrusted_issuer)
snitest2: The certificate is not trusted because it is self-signed. (Error code: sec_error_untrusted_issuer)

rekonq 0.7.0 + Konqueror (Using KDE Development Platform 4.7.4 (4.7.4))
snitest: NO, there were errors: The certificate is not signed by any trusted certificate authority
snitest2: NO, there were errors: The certificate is not signed by any trusted certificate authority

Chromium 17.0.963.56 (Developer Build 121963 Linux) Debian wheezy/sid
snitest: You attempted to reach ***, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system.
snitest2: You attempted to reach ***, but the server presented a certificate issued by an entity that is not trusted by your computer's operating system.

ELinks 0.12pre5
snitest: Lande ohne Meckern sofort auf der seite
snitest2: Lande ohne Meckern sofort auf der seite


Lynx Version 2.8.8dev.9 (12 Jun 2011)
snitest: Lande ohne Meckern sofort auf der seite
snitest2: SSL-Fehler:host(snitest2***de)!=cert(CN<snitest.***de>)

w3m 0.5.3-5
snitest: self signed certificate: accept? (y/n) --> y --> seite wird angezeigt
snitest2: self signed certificate: accept? (y/n) --> y --> seite wird angezeigt
Unix is user-friendly; it's just picky about who its friends are.

Brancaleone
Beiträge: 62
Registriert: 20.02.2009 14:24:01

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von Brancaleone » 05.03.2012 11:57:57

Lynx 2.8.8dev.12-1:

snitest: Lande ohne Meckern sofort auf der seite
snitest2: Lande ohne Meckern sofort auf der seite
OS:
Debian Testing mit LXDE

Lizenz:
WTFPL V2
http://sam.zoy.org/wtfpl/

deberik
Beiträge: 1177
Registriert: 30.09.2009 13:27:23

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von deberik » 05.03.2012 12:48:44

Debian Wheezy, Konqueror 4.6.5: snitest ok, snitest2 nicht OK
Android 2.3.5, mitgelieferter Browser: snitest ok, snitest2 nicht OK

Edit: Genauer aufgeschlüsselt
Zuletzt geändert von deberik am 05.03.2012 21:43:50, insgesamt 1-mal geändert.
Debians Paketbeschreibungen übersetzen? Hilf mit!

DeletedUserReAsG

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von DeletedUserReAsG » 05.03.2012 13:16:40

Wheezy, Konqueror 4.6.5: snitest okay/snitest2 nicht okay (CN=snitest.***.de)

cu,
niemand

jkoerner

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von jkoerner » 05.03.2012 19:57:22

Dillo-3.0 auf testing zeigt nach Akzeptierung des Zertifikats beide Seiten korrekt an.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 05.03.2012 20:02:45

Kann es echt sein, das der Konqueror noch kein SNI kann? Ist ja wunderlich. :?

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von catdog2 » 05.03.2012 20:28:54

feltel hat geschrieben:Kann es echt sein, das der Konqueror noch kein SNI kann? Ist ja wunderlich. :?
Kann er doch, zumindest in einer halbwegs aktuellen Version.
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
spiralnebelverdreher
Beiträge: 1294
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von spiralnebelverdreher » 05.03.2012 21:56:18

Android 1.6
Mitgelieferter Browser: Beides OK
Opera Mini (Version 6.5.27452): Beides OK

Benutzeravatar
Zuujin
Beiträge: 22
Registriert: 02.06.2009 21:27:55

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von Zuujin » 05.03.2012 23:03:03

Android 2.3.7 mit DefaultBrowser AppleWebKit/533.1
snitest1 OK
snitest2 OK

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von hikaru » 06.03.2012 00:14:29

Nokia N900:
Beide snitests erfolgreich für Opera Mobile 11.50.14, MicroB 21.2011.38-1.002 und Firefox 5.0.

Antworten