Firefox wie Selbst-Zertifiziertes Zertifikat erlauben

[xcomm]

Hi Gemeinde,

habe das Problem, dass man in Firefox kein Selbst-Zertifiziertes Zertifikat mehr erlauben kann. Auch kein offizielles, ohne die Subdomain ERR_CERT_COMMON_NAME_INVALID.

Das ganze ist ein alter Server subdomain.domain.de und ich will dafür eigentlich kein Zert mehr kaufen.

1)
Ich habe einmal ein selbst-zertifiziertes Zert probiert:

Code: Alles auswählen

 export h="subdomain.domain.de"; openssl req -new -x509 -newkey rsa:2048 -days 3650 -nodes -out ${h}.crt -keyout ${h}.key

Im Firefox kommt leider keine manuelle Erlaubnismöglichkeit mehr dafür. Gut, die Seite komplett aus der Chronik gelöscht, einmal ging das Erlauben und das Laden der Seite. Beim nächsten Versuch, ging es schon wieder nicht mehr. Scheinbar nicht persistent zu erlauben.

2)
Neuer Versuch, ich habe das Certbot-Zertifikat von "domain.de" unter dem alten Server unter "subdomain.domain.de" einkopiert. Geht soweit vom Apache, nur die Browser geben keine Erlaubnismöglichkeit für ERR_CERT_COMMON_NAME_INVALID / die nicht abgebildete Subdomain.

Wie kann ich die Seite manuell freigeben?
Danke, xcomm

[mludwig]

Die Meldung besagt halt, dass der im Zertifikat hinterlegte Name (CN und/oder Subject Alternative Name) nicht mit dem Servernamen (das was in deinem Browser in der Adresszeile steht) übereinstimmt.

Wenn du dir ein selbstsigniertes Zertifikat erzeugst, muss auch dort der korrekte Name drin stehen.

Bei dem openssl Befehl wird eigentlich der Common Name (CN) abgefragt, und dort muss dann der korrekte Eintrag - so wie du ihn im Browser eingibst - drinstehen. In deinem Beispiel subdomain.domain.de

Alle anderen Angaben die abgefragt werden sind mehr oder weniger optional, aber der CN ist das worum es beim Zertifikat eigentlich geht.

So ein Zertifikat sollte der Browser dann auch (nach manueller Bestätigung) als selbstsigniert akzeptieren.

[xcomm]

in 1 habe ich ja den selbst signiert korrekten Domainnamen, aber Firefox gibt mir nciht einmal die Möglichkeit die Ausnahme zu erlauben.

[mludwig]

Die Fehlermeldung ERR_CERT_COMMON_NAME_INVALID sagt aber, dass der CN nicht übereinstimmt?

[niemand]

in 1 habe ich ja den selbst signiert korrekten Domainnamen

Nur halt nicht als CN. Normalerweise™ erlaubt FF trotzdem, eine Ausnahme für den jeweiligen Aufruf zu machen. Besagt die Meldung im FF zufällig, dass HSTS dieses verhindert? Ansonsten bietet FF auch die Möglichkeit, sich das Zertifikat im Detail anzuschauen, vielleicht findest du da weitere Hinweise.

[xcomm]

Ja, da steht das HSTS das verhindert. Muss ich das im Firefox oder im Server deaktivieren? Im Server habe ich bisher nichts gefunden, das es dort aktiviert wäre.

Code: Alles auswählen

grep -nr "Strict-Transport-Security" /etc/apache2/

findet nichts.


P.S.: Der Fehler mit meinen generierten Zert ist Fehlercode: MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT
Ich kan nes halt nicht erlauben.

[niemand]

Ja, da steht das HSTS das verhindert. Muss ich das im Firefox oder im Server deaktivieren?

Oh, da hast du nicht viele Möglichkeiten: sobald dem Browser der HSTS-Eintrag bekannt ist, wird er auf einem gültigen Zertifikat bestehen, bis die angegebene Zeit (üblicherweise ein Jahr) abgelaufen ist.

Ich bin mir einigermaßen sicher, dass HSTS eben auch die Nutzung selbstsignierter Zertifikate verhindert – ansonsten wäre der Mechanismus ja relativ sinnfrei (sprich: Angreifer würde sich sein Cert selbst signieren und könnte sich damit dann in die Mitte setzen; also genau das Szenario schaffen, vor dem HSTS ja gerade schützen soll).

Die einzige Lösung wäre also, sich ein gültiges Zertifikat zu besorgen. Was in Zeiten von Let’s Encrypt ja auch kein Drama ist: das richtet man einmal ein, und muss sich dann in der Regel nicht mehr drum kümmern.

OT: es ist immer eine gute Idee, im Eingangsbeitrag die vollständige Meldung zu zeigen – dann wär’s gleich klar gewesen, und hätte nicht anderer Leute Zeit verschwendet.

[xcomm]

a) Doch, man kann theoretisch die Chronik des Browsers für die Seite komplett löschen und damit auch das HSTS dafür.
Das hat Praxis aber nur einmal funktioniert.

b) Außerdem habe ich jetzt das in dem Server gesetzt:

"<VirtualHost *:443>
. . .
Header always set Strict-Transport-Security "max-age=0"
</VirtualHost>"

https://serverfault.com/questions/10118 ... apache-2-4




(Letsencrypt geht nicht auf dieser alten Maschine leider nicht zu nutzen, weil zu alte Installation. Deshalb hatte ich oben 2) von einer neuen Maschine das nicht exakt passende probiert.)

Ich würde also gerne das verdammte HSTS deaktivieren, was ich weder alten, wie im neuen Server, noch im Firefox konfiguriert habe, und selber entscheiden können, dier alte Seite besuchen zu können, da ich die noch für historische Daten brauche.

[niemand]

a) Doch, man kann theoretisch die Chronik des Browsers für die Seite komplett löschen und damit auch das HSTS dafür.

Das wäre einen Bugreport an den Browserhersteller wert. Die Chronik sollte damit nichts zu tun haben. Insbesondere, wenn die Seite in der großen Datenbank steht, sollte es zudem völlig unerheblich sein, ob man die Seite überhaupt schon mal besucht hat.

Letsencrypt geht nicht auf dieser alten Maschine leider nicht zu nutzen, weil zu alte Installation.

Ich habe in einem ähnlichen Fall mal einfach eine andere Maschine das Zertifikat besorgen lassen, und es dann auf die Zielmaschine kopiert.

Ich würde also gerne das verdammte HSTS deaktivieren, was ich weder alten, wie im neuen Server, noch im Firefox konfiguriert habe, und selber entscheiden können, dier alte Seite besuchen zu können, da ich die noch für historische Daten brauche.

Dann hast du entsprechend des von dir verlinkten Threads genau zwei Möglichkeiten: a) du wartest ab, bis die ursprünglich gesetzte Zeit abgelaufen ist, oder b) du lässt tatsächlich über eine geeignete Maschine einmal ein gültiges Zertifikat erstellen, das du auf die Zielmaschine kopierst, wodurch dein Browser die Verbindung akzeptiert und damit die neue Gültigkeitsdauer von „0“ mitbekommen kann.

Eine Frage wäre allerdings auch: wer, wenn nicht du, hat’s denn konfiguriert? Von alleine sollte das eigentlich nicht passieren.

Allerdings: wenn die Installation auf der Maschine so alt ist, dass selbst Let’s Encrypt da nicht mehr nutzbar ist, ist’s vielleicht sowieso nicht die beste Idee, das Ding offen am Netz zu haben – die anderen Komponenten dürften dann ja auch wohlbekannte Schwachstellen haben. Wenn du’s für dich in der Form brauchst, wäre vielleicht ein Tunnel oder ein VPN eine Möglichkeit?