(temporäres) neues SSL-Zertifikat für www.debianforum.de

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

(temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von feltel » 15.05.2008 18:31:54

Ich habe aufgrund der bekannten OpenSSL-Problematik in Debian jetzt übergangsweise ein selbstsigniertes SSL-Zertifikat für https://www.debianforum.de installiert. Das bisher verwendete CACert-Zertifikat wurde mit einer von dem Fehler betroffenen OpenSSL-Version erstellt und war daher auch unsicher.

Die SHA1-Prüfsumme des neuen selbstsignierten Certs ist

Code: Alles auswählen

8E 2E 6E 31 3F DF 79 20 22 B9 A3 E5 C1 3B 73 4D 13 AE 66 51
Sobald wie möglich werde ich wieder ein CACert-Zertifikat installieren.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 15.05.2008 18:52:54

Danke, eine MIM Attacke gegen mich die herausfindet, das ich hier heimlich mitlese wäre auch echt furchtbar. ;)

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von startx » 21.06.2008 12:11:43

so am rande, firefox 3 meldet beim aufrufen selbst signierter zertifikate:
(Fehlercode: sec_error_untrusted_issuer)
* Das könnte ein Problem mit der Konfiguartion des Servers sein, oder jemand will sich als dieser Server ausgeben.

* Wenn Sie mit diesem Server in der Vergangenheit erfolgreich Verbindungen herstellen konnten, ist der Fehler eventuell nur vorübergehend, und Sie können es später nochmals versuchen.
mich aergert das total, weil es den user total falsch informiert. "(Fehlercode: sec_error_untrusted_issuer)" sagt erstmal garnichts, und der letzte hinweis ist auch unsinn, weil es im falle vom firefox 3 naemlich nicht daran liegt dass sich was am server geaendert hat, sondern der browser.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 21.06.2008 12:18:31

startx hat geschrieben:so am rande, firefox 3 meldet beim aufrufen selbst signierter zertifikate:
Das schon, wenn man dann aber alles brav bestätigt hat er das Zertifikat gefressen. Beim FF2 kam jedesmal ne Fehlermeldung, die man mit Ok bestätigen musste. Immerhin ein minimaler Komfortgewinn.

Benutzeravatar
startx
Beiträge: 3165
Registriert: 07.12.2002 19:29:48
Wohnort: london

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von startx » 21.06.2008 17:32:38

schon klar, aber die angegebenen gruende fuer das problem sind meiner meinung nach falsch oder zumindest unvollstaendig.

Benutzeravatar
C_A
Beiträge: 1082
Registriert: 22.04.2004 14:51:01
Lizenz eigener Beiträge: GNU General Public License

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von C_A » 21.06.2008 17:39:42

Ich bin der Meinung dass der angegebene Fehler korrekt ist. Der Aussteller des Zertifikates ist dem Browser nicht vertraut. Falls man das Zertifikat im firefox 2 schon permanent "erlaubt" hat, heisst das einfach dass diese nicht in den firefox 3 mitgenommen werden - aber ich verwende kein firefox 3.

btw: das ganze ist imho OT

aspettl
Beiträge: 318
Registriert: 15.02.2006 22:05:37
Lizenz eigener Beiträge: MIT Lizenz
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von aspettl » 22.06.2008 17:49:24

feltel hat geschrieben:Sobald wie möglich werde ich wieder ein CACert-Zertifikat installieren.
Wäre das vielleicht möglich?

Gruß
Aaron

Benutzeravatar
encbladexp
Beiträge: 49
Registriert: 20.07.2002 19:44:24
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von encbladexp » 20.05.2009 20:03:43

Ich push das jetzt einfach mal, wann gibt es jetzt wieder ein CACert Zertifikat hier im Forum?

mfg Betz Stefan
Hier könnte ihre Werbung stehen.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von feltel » 28.05.2009 07:05:55

done, auch wenns ein wenig länger als notwendig gedauert hat.

Das neue CAcert-Zertifikat hat die SHA1-Prüfsumme

Code: Alles auswählen

66 66 9a a4 21 d1 95 6f a5 12 c3 18 ac e0 16 96 a2 e8 3a 7d

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 28.05.2009 09:19:07

feltel hat geschrieben:done, auch wenns ein wenig länger als notwendig gedauert hat.
ach komm, das war doch nur ein Jahr. ;)

Organisation: Root CA?
Expires on: 24.11.2009?

und das Ding muss man wieder händisch bestätigen - das war aber glaube ich generell so bei CACert.

Benutzeravatar
Duff
Beiträge: 6321
Registriert: 22.03.2005 14:36:03
Wohnort: /home/duff

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von Duff » 28.05.2009 09:55:35

Haben den Vorgang sogar 2 mal erledigen müssen, bis firefox endlich das Zertifikat akzeptiert hatte (oder es liegt an dem Windows-Rechner hier auf der Arbeit ;-))
Oh, yeah!

Danielx
Beiträge: 6419
Registriert: 14.08.2003 17:52:23

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von Danielx » 28.05.2009 10:05:43

Hm, mit dem Iceweasel aus Lenny musste ich das neue Zertifikat nicht bestätigen.

Gruß,
Daniel

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 28.05.2009 10:11:30

Duff hat geschrieben:Haben den Vorgang sogar 2 mal erledigen müssen, bis firefox endlich das Zertifikat akzeptiert hatte (oder es liegt an dem Windows-Rechner hier auf der Arbeit ;-))
da Daniel das Problem nicht hat lautet die Antwort: "ja", da ich auch aktuell auf einem XP Laptop bin. Das Problem ist da aber aus meiner Erinnerung schon älter.

Benutzeravatar
duese
Beiträge: 651
Registriert: 12.07.2006 15:27:20
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von duese » 28.05.2009 12:05:55

ub13 hat geschrieben:und das Ding muss man wieder händisch bestätigen - das war aber glaube ich generell so bei CACert.
Nicht, wenn Du das Root-Zertifikat von CACert importiert hast.
Danielx hat geschrieben:Hm, mit dem Iceweasel aus Lenny musste ich das neue Zertifikat nicht bestätigen.l
Lenny hat das CACert-Root-Zertifikat in den Paketquellen (oder in Iceweasel, ich weiß es gerade nicht genau) mit drin.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 28.05.2009 12:39:44

duese hat geschrieben:Nicht, wenn Du das Root-Zertifikat von CACert importiert hast.
der Test sagt Nein dazu. Ich habe zuerst das root CA von CA Cert nochmal! importiert, komplett bestätigt und die beiden df Keys der Root CA dann gelöscht. Bei Neuanmeldung musste ich wieder bestätigen. So habe ich das auch noch von damals in Erinnerung. MS mag kein CA Cert.

Benutzeravatar
duese
Beiträge: 651
Registriert: 12.07.2006 15:27:20
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von duese » 28.05.2009 13:19:20

ub13 hat geschrieben:
duese hat geschrieben:Nicht, wenn Du das Root-Zertifikat von CACert importiert hast.
der Test sagt Nein dazu. Ich habe zuerst das root CA von CA Cert nochmal! importiert, komplett bestätigt und die beiden df Keys der Root CA dann gelöscht. Bei Neuanmeldung musste ich wieder bestätigen. So habe ich das auch noch von damals in Erinnerung. MS mag kein CA Cert.
Hmm. Habs gerade mal mit einem IE7 probiert und musste Zwecks Zertifikatimport gefühlte 20× klicken. Der Aufruf von https://debianforum.de ging dann aber problemlos. Ich habe die PEM-Variante im IE importiert, vielleicht ist das ein Lösungsansatz...

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 28.05.2009 13:26:11

duese hat geschrieben:Hmm. Habs gerade mal mit einem IE7 probiert und musste Zwecks Zertifikatimport gefühlte 20× klicken. Der Aufruf von https://debianforum.de ging dann aber problemlos. Ich habe die PEM-Variante im IE importiert, vielleicht ist das ein Lösungsansatz...
ich verwende den FF, den IE nur wenns nicht anders geht. IE habe ich nicht getestet - mir ist das mittlerweile aber auch egal. ein paarmal klicken und drin ist drin.

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von feltel » 28.05.2009 19:32:33

ub13 hat geschrieben:Expires on: 24.11.2009?
Jepp, hab leider nur 35 CAcert-Punkte und daher ist das Zertifikat auf 6 Monate Gültigkeit begrenzt.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: (temporäres) neues SSL-Zertifikat für www.debianforum.de

Beitrag von 123456 » 28.05.2009 21:16:44

feltel hat geschrieben:Jepp, hab leider nur 35 CAcert-Punkte und daher ist das Zertifikat auf 6 Monate Gültigkeit begrenzt.
habe mir dieses Web of Trust nochmal durchgelesen. Ab 50 Punkte hält das Zertifikat 24 Monate. Du bist doch ab und zu auf einer Linux Messe/Veranstaltung. Da sollte sich doch was organisieren lassen, wenn man vorher mal in den Äther ruft.
Verification needed: Same as above, plus you must get a minimum of 50 assurance points by meeting with one or more assurers from the CAcert Web of Trust, who verify your identity using your government issued photo identity documents.
aus: http://www.cacert.org/index.php?id=19

Antworten