neue SSL-Certs

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 9645
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

neue SSL-Certs

Beitrag von feltel » 17.03.2015 19:37:17

Da die aktuellen SSL-Certs Ende des Monats ausgelaufen wären, habe ich neue erstellt. Ich habe die Gelegenheit genutzt, gleich SHA256-Certs statt SHA1-Certs zu beantragen. Chrome und damit auch Chromium lässt ja aus gutem Grund die SHA1-Unterstützung so langsam auslaufen (siehe http://googleonlinesecurity.blogspot.de ... sha-1.html).

Die Zertifikate sind bis 16. bzw. 17.03.2016 gültig und weisen je nach Domain die folgenden SHA256-Prüfsummen auf:

debianforum.de:

Code: Alles auswählen

6D 8B 3F 1F B2 63 54 6C C2 F5 A9 0B 79 07 A4 76 EB EB 44 74 54 9B 8D DB 55 B0 C5 15 95 B3 BC D6
jabber.debianforum.de:

Code: Alles auswählen

7E FE 64 79 56 E1 BE 57 5F CD A9 91 84 D5 B9 74 7F C0 77 15 2F E5 A0 AF 67 62 37 A6 DE 08 38 CB
mirror.debianforum.de:

Code: Alles auswählen

D0 FB F3 6F 1B 41 A9 04 3C 2B 6C 01 08 CB 0B AC 7F C1 20 C3 0F F9 9F 3D 21 99 29 1F 97 48 4D BB
planet.debianforum.de:

Code: Alles auswählen

69 9E AA 4C 4D 3B 1B 38 AE 43 37 09 88 27 D9 C1 C0 28 47 29 9D 27 F1 E2 F4 B5 B9 10 86 4C 67 ED
wiki.debianforum.de:

Code: Alles auswählen

97 87 FF 81 13 10 EB 29 DF 63 64 5B 16 8B AB 78 53 2E 3A AC E2 D1 6A 37 D8 3D 9C A6 C3 E8 31 1C
Mit den neuen Certs erreichen wir ein zumindest fürs Ego gutes A+ beim SSLLabs-Check: https://www.ssllabs.com/ssltest/analyze ... .de&latest :wink:

Wie immer bei solchen Cert-Rollovers kann es vorkommen, das die neuen Certs noch nicht auf den sog. OCSP-Zertifikats-Widerrufsservern eingetragen sind, während die alten Certs schon widerrufen sind. Firefox prüft gegen einen OCSP-Server, Chrome/Chromium tut dies per se nicht. Dies ist eine temporäre Situation, die sich von selbst innnerhalb weniger Stunden auflöst.
Zuletzt geändert von feltel am 18.03.2015 14:41:06, insgesamt 1-mal geändert.
Grund: jabber.debianforum.de nachgetragen

Cae
Moderator
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: neue SSL-Certs

Beitrag von Cae » 18.03.2015 00:05:34

Was ist mit jabber.debianforum.de?

Code: Alles auswählen

$ </dev/null openssl s_client -starttls xmpp -connect debianforum.de:5222 | openssl x509 -noout -fingerprint -sha1
...
SHA1 Fingerprint=98:58...
$ </dev/null openssl s_client -starttls xmpp -connect debianforum.de:5222 | openssl x509 -noout -fingerprint -sha256
...
SHA256 Fingerprint=7E:FE...
$ 
Das passt zu irgendwie gar nichts.

Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 21710
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: neue SSL-Certs

Beitrag von KBDCALLS » 18.03.2015 13:48:20

Opera 12.60 mag das Zertikat immr noch nicht.

Code: Alles auswählen

Es ist nicht möglich die sichere Transaktion abzuschließen

Die von Ihnen aufgerufene Adresse http://debianforum.de/ ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.

Sichere Verbindung: Schwerer Fehler (300)

https://debianforum.de/

Das Zertifikat ist nicht vom angeblichen Aussteller bekannt. Es ist nicht gültig. Im schlimmsten Fall kann es von Kriminellen zu betrügerischen Zwecken verwendet werden. Der Eigentümer der Website muss das Zertifikat sofort ersetzen.
Stellen Sie sicher, dass eine Verbindung mit dem Internet besteht und überprüfen Sie, ob andere Programme mit derselben Verbindung funktionieren.
Überprüfen Sie bitte, dass Ihre Einstellungen evtl. zusätzlich installierter Internet-Sicherheitsprogramme korrekt sind, damit das normale Surfen im Web nicht behindert wird.
Wenn Sie sich hinter einer Firewall in einem lokalen Netzwerk befinden und Sie meinen, dass dieses die Probleme verursachen könnte, fragen Sie Ihren System-Administrator.
Versuchen Sie nach dem Drücken der Taste F12 und dem Deaktivieren der Proxyserver diese Seite neu zu laden, außer Sie wissen genau, dass Sie diesen Proxy verwenden müssen, um sich mit dem Internet zu verbinden.
Benötigen Sie Hilfe?
Rufen Sie Operas Hilfe auf.
Rufen Sie Operas Online-Supportseiten auf.
Mit Firefox gehts mittlerweile.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
feltel
Webmaster
Beiträge: 9645
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neue SSL-Certs

Beitrag von feltel » 18.03.2015 14:39:58

Cae hat geschrieben: Das passt zu irgendwie gar nichts.
Sorry, den Host hatte ich oben in der Liste vergessen. Das Cert ist ebenfalls neu und hat den SHA256-Fingerprint:

Code: Alles auswählen

7E:FE:64:79:56:E1:BE:57:5F:CD:A9:91:84:D5:B9:74:7F:C0:77:15:2F:E5:A0:AF:67:62:37:A6:DE:08:38:CB

eggy
Beiträge: 1556
Registriert: 10.05.2008 11:23:50

Re: neue SSL-Certs

Beitrag von eggy » 18.03.2015 16:47:13

Mit Pidgin gibts auch noch Verbindungsprobleme:
98:58... - Ausstellerzertifikat konnte nicht gefunden werden.

Benutzeravatar
feltel
Webmaster
Beiträge: 9645
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neue SSL-Certs

Beitrag von feltel » 18.03.2015 17:54:04

Ich kann den Fehler nachvollziehen. Mein Gajim meldet "Unable to verify the first certificate". Mein Fehler. Das Intermediate-Cert von StartSSL fehlte noch im PEM-File das der eJabberd nutzt. Damit konnte der Jabber-Client die Zertifikatskette nich nachvollziehen.Ist jetzt behoben.

eggy
Beiträge: 1556
Registriert: 10.05.2008 11:23:50

Re: neue SSL-Certs

Beitrag von eggy » 18.03.2015 20:01:31

Danke, geht hier auch wieder.

Antworten