für neuen Rootserver: bitte SSL-Test machen und berichten

Neues rund um debianforum.de
Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

für neuen Rootserver: bitte SSL-Test machen und berichten

Beitrag von feltel » 04.03.2012 07:34:51

Auf einem noch zu bestellenden neuen Rootserver würden wir per se nur noch eine IP zugeteilt bekommen, aktuell haben wir ein /248iger-Netz und nutzen es für die verschiedenen Dienste auch aus. Die Beschränkung bei SSL-Hosts 1 IP = 1 Cert = 1 Host galt lange Zeit, jetzt gibt es jedoch seit einiger Zeit SNI, was diese Beschränkung aufhebt. Leider unterstützen nicht alle Systeme SNI, vorallem Altsysteme aus Redmond.

Könntet ihr bitte mal, wenn ihr die Möglichkeit habt die beiden unten stehenden URLs aufrufen und schauen, ob ihr neben dem (erwarteten) Fehler wegen eines selbstsignierten Certs auch den Fehler Hostname ungleich Zertifikatsname bekommt. Schön wäre es, wenn ihr hier mit Betriebssystem- und Browserangabe berichten könntet. Testet bitte auch auf Macs, i-Devices, Androiden und wo auch immer.

Test-URLs (so aufgeschrieben, damit Onkel Google nicht vorbeikommt):

https snitest_debianforum_de
SHA1-Fingerprint: F9 81 D3 C5 DB 21 18 EF 99 9A B5 A4 8F F6 D4 88 DB B1 C8 BE; gültig ab 12.12.2011

https snitest2_debianforum_de
SHA1-Fingerprint: DF 81 E9 33 CB 43 3A 26 28 DE 96 47 48 80 39 DD 5D 96 45 CF; gültig ab 04.03.2012

Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 07:39:31

Debian Wheezy, Chromium 17.0.963.56 OK
iOS 4.3.3, Safari ? OK
MacOS 10.6.8, Firefox 10.0.2 OK
MacOS 10.6.8, Safari 5.1.2 OK
MacOS 10.7.3, Firefox 10.0.2 OK
MacOS 10.7.3, Safari 5.1.3 OK
Windows 7 SP1, IE8 OK
Windows 7 SP1, Firefox 10.0.2 OK
Windows 7 SP1, SRWare Iron 16.0.950.0 OK
Windows Server 2003 R2 SP2, IE8 nicht OK
Windows Server 2008 R2 SP1, IE8 OK
Windows XP SP3, Firefox 10.0.2 OK
Windows XP SP3, IE8 nicht OK
Windows XP SP3, SRWare Iron 17.0.1000.0 OK

uname
Beiträge: 8979
Registriert: 03.06.2008 09:33:02

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von uname » 04.03.2012 08:11:41

Mit Debian Squeeze und Standard-Iceweasel gibt es nur die normale Fehlermeldung für das selbstsignierte Zertikat. Chromium macht keinen großen Unterschied und sagt einfach es ist unsicher.

Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen. Ich bin auch kein Fan von der Politik der SSL-Aussteller, aber die SSL-Warnungen und vor allem die Bearbeitung innerhalb der Webbrowser ist auch schrecklich. Vielleicht mal drüber nachdenken. Wobei SSL wird sowieso überbewertet. Die Leute fühlen sich sicher und werden dann bereits am Anfang der Ende-zu-Ende-Verschlüsselung (Client) durch Windows-Schadsoftware ausgehorcht, so dass das SSL witzlos wird. Siehe Phishing beim Internet-Banking.

Benutzeravatar
4A4B
Beiträge: 909
Registriert: 09.11.2011 11:19:55
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von 4A4B » 04.03.2012 09:13:26

Unter Debian Squeeze mit Opera 11.61 sowie unter FreeBSD 8.2 mit Opera 11.61 erhalte ich nur die Fehlermeldung "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Benutzeravatar
mindX
Beiträge: 1524
Registriert: 27.03.2009 19:17:28
Lizenz eigener Beiträge: GNU General Public License

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von mindX » 04.03.2012 09:25:39

Squeeze-amd64, Opera 11.61: "Die Zertifikatskette des Servers ist unvollständig und der oder die Aussteller sind nicht registriert"

Squeeze-amd64, ELinks: "You don't have permission to access / on this server."

Squeeze-amd64, Chromium 6.0.472.63:"Das Sicherheitszertifikat der Website ist nicht vertrauenswürdig!"

Squeeze-amd64, Iceweasel 10.0.2: "Dieser Verbindung wird nicht vertraut.... snitest.debianforum.de verwendet ein ungültiges Sicherheitszertifikat. Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde. (Fehlercode: sec_error_untrusted_issuer)"

Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 09:28:59

uname hat geschrieben:Vielleicht nur am Rande: Aber könnte man nicht ein signiertes SSL-Zertifkat kaufen oder kostenlos bei http://www.startssl.com besorgen.
Das selbstsignierte Cert ist bloß für den Test. Auf dem Produktivsystem wird dann wie hier bereits am laufen ein Cert von CAcert benutzt werden.

guennid
Beiträge: 11005
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 10:49:27

Ich weiß zwar nicht, was ich da gemacht habe, aber vielleicht hilft's dir ja: 8)

squeeze amd64, midori 0.2.4

ich habe "https snitest_debianforum_de" in midori eingegeben und erhielt ohne irgendeine weitere Meldung eine google-Liste mit deinem thread als einzigen Treffer. Same procedure mit "https snitest2_debianforum_de".

Grüße, Günther

Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 10:51:59

Neee, so war das nicht gemeint. :-)

Das "https snitest usw". ist eine maskierte URL ohne Doppelpunkt und Doppelslash und Unterstrichen statt Punkten. Ich hab das bloß so geschrieben, damit die Adresse nicht in den Googlecache kommt. Die beiden Adressen habe ich eingerichtet, um herauszufinden auf welchen Betriebssystem-/Browserkombinationen es zu Fehlern kommt, um abschätzen zu können, wieviele wir potentiell dann von der fehlerfreien SSL-Nutzung ausschließen würden.

Benutzeravatar
detix
Beiträge: 1323
Registriert: 07.02.2007 18:51:28
Wohnort: MK

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von detix » 04.03.2012 11:02:53

Neben dem üblichen "Dieser Verbindung wird nicht vertraut",
kein Problem bei beiden links mit "Fehler Hostname ungleich Zertifikatsname"
wheezy + iceweasel 10.0.2, vorhin frisch aktualisiert.
Gruß an alle Debianer

Benutzeravatar
shoening
Beiträge: 737
Registriert: 28.01.2005 21:05:59
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von shoening » 04.03.2012 11:07:44

Hi,

habs gerade mal auf einem Nokia Phone mit Symbian S60 gemacht.
Da werde ich nur gefragt, weil das Zertifikat selbst signiert ist. Nach akzeptieren kommt dann bei
snitest: seite nicht gefunden und bei
snitest2 403 Forbidden

Ciao
Stefan
Bürokratie kann man nur durch ihre Anwendung bekämpfen.

Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 11:13:01

Hab jetzt mal HTML-Files jeweils hinterlegt, damit der Forbidden-Fehler nicht mehr irreführt.

guennid
Beiträge: 11005
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 11:30:33

Hmmm ...

Ganz geschnallt habe ich es zwar immer noch nicht, aber mir dämmert: ich könnte helfen, wenn ich das Ganze mal in "normaler" Schreibung eingäbe, also mit Dopppunkt und Schrägstrichen. Bitte bestätigen, bevor ich wieder Mist baue. :wink:

Grüße, Günther

Benutzeravatar
feltel
Webmaster
Beiträge: 9537
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von feltel » 04.03.2012 11:31:25

jepp, so war das gedacht. :P

Interessieren tut mich wie gesagt, ob nur eine erwartete Fehlermeldung (unvertrautes, selbst-signiertes Zertifikat) erscheint oder zwei (die vorherige und zusätzlich "Hostname stimmt nicht mit Namen auf Zertifikat überein"). Wenn nur die eine kommt, dann ist alles okay, wenn beide kommen, dann kann die Browser-/Betriebssystemkombi mit SNI nicht umgehen.

guennid
Beiträge: 11005
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von guennid » 04.03.2012 11:38:01

Midori rödelt ein paar Sekunden und schreibt dan "SNI-TEST und SNI-TEST2 auf den Schirm. Sonst habe ich nichts gesehen.

Opera 10.62 hätt' ich noch im Angebot. Den aktualisiere ich nicht mehr, weil opera mich geärgert hat. :cry:

smo
Beiträge: 482
Registriert: 19.12.2005 16:34:40
Lizenz eigener Beiträge: MIT Lizenz

Re: für neuen Rootserver: bitte SSL-Test machen und berichte

Beitrag von smo » 04.03.2012 12:19:36

1. Samsung Galaxy S2 mit Android 2.3.6
1.1 Mitgelieferter Browser ("AppleWebKit/533.1")
  • snitest1: OK
    snitest2: nicht OK "Der Name des Standorts entspricht nicht dem Namen des Zertifikats"
1.2 Firefox 10.0.2
  • snitest1: OK
    snitest2: OK
2. ipad1 mit ios 5.0.1
2.1 Safari ("AppleWebKit/534.46")
  • snitest1: OK
    snitest2: OK
Grüße
smo

Antworten