neues Serverzertifikat

Freifunk Firmware, Programme für den Router, Entwicklungen, Fragen und Anleitungen
Antworten
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

neues Serverzertifikat

Beitrag von 3dfxatwork »

ich habe ein neues Serverzertifikat installiert, das alte war am Montag abgelaufen, für die Sicherheitsfreaks hier der SHA1 Hash: 3D:95:D8:02:44:8C:E4:9A:3F:08:65:50:44:E9:EA:43:7E:00:23:AF
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
muffin
Beiträge: 10
Registriert: 28.11.2014 18:22

Re: neues Serverzertifikat

Beitrag von muffin »

Ich denke mal, dass es sich dabei um die SSL-Zertifikate handelt, oder? Irgendwie wird mir das nämlich nicht ganz ersichtlich. Wofür genau sind diese Zertifikate genau gedacht, was richten die an? Dachte nämlich auch an eine eigene Seite inklusive Domain. Tendiere zu einer Mail Domain von diesem Anbieter, weil dort bei Abschluss 2 Domains inklusive sind und so durch den Email-Namen, der den Firmennamen inne hat, ein Wiedererkennungswert geschaffen wird. Denke das ist für den Anfang schon mal eine gute Option...Jedoch fällt immer dieser Begriff des Zertifikats uns irgendwie werde ich daraus nicht schlau.
Zuletzt geändert von muffin am 05.12.2014 09:34, insgesamt 1-mal geändert.
Niveau sieht nur von unten aus wie Arroganz
Benutzeravatar
kwm
Beiträge: 1040
Registriert: 14.05.2010 21:48
Kontaktdaten:

Re: neues Serverzertifikat

Beitrag von kwm »

muffin hat geschrieben:Ich denke mal, dass es sich dabei um die SSL-Zertifikate handelt, oder?
Ja
muffin hat geschrieben:Irgendwie wird mir das nämlich nicht ganz ersichtlich. Wofür genau sind diese Zertifikate genau gedacht, was richten die an?
Die dienen der Sicherheit.
muffin hat geschrieben:Dachte nämlich auch an eine eigene Seite inklusive Domain.
Schön für Dich.
muffin hat geschrieben:Tendiere zu einer Mail Domain von diesem Anbieter, weil dort bei Abschluss 2 Domains inklusive sind.
Welcher Anbieter?
muffin hat geschrieben:Denke das ist für den Anfang schon mal eine gute Option...Jedoch fällt immer dieser Begriff des Zertifikats uns irgendwie werde ich daraus nicht schlau.
Ich werde aus dem was Du schreibst auch nicht schlau. Was ist nochmal Deine Frage?
Irgendwie ergibt Dein Text kaum Sinn. Da habe ich jetzt Zweifel, ob Du real existierst oder ein kleiner Troll bist der nach Futter verlangt.
FF-Webcam
http://www.webcam-hufeisensee.de

Lieber Spaß unter Wasser, als Langeweile an Land!
Ein Leben ohne Tauchen ist möglich, aber sinnlos!

Die deutsche Sprache ist zwar Freeware, aber kein Open-Source.
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

Um das nochmal ganz klar zu machen: es handelt sich um den Hash des Zertifikats welches für gesicherte Https Verbindungen zu https://www.freifunk-halle.net verwendet wird.
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
muffin
Beiträge: 10
Registriert: 28.11.2014 18:22

Re: neues Serverzertifikat

Beitrag von muffin »

Habe mich gestern Abend nochmals genauer eingelesen und denke, dass ich jetzt einen etwas besseren Überblick habe. Ich habe ein Webhosting über Linux bei 1&1 bestellt und da konnte man optional das SSL Zertifikat hinzubuchen. Grund ist, dass die Firmenwebseite so vertrauenswürdig wie möglich wirken soll und ich einen perfekten Datenschutz mit sicherer Verschlüsselung aufweisen kann...
Niveau sieht nur von unten aus wie Arroganz
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

Schön, aber ich kann da immer noch keine Frage feststellen und so richtig hat das nichts mit dem ursprünglichen Thema zu tun.
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

Für www.freifunk-halle.org habe ich gerade ein neues Zertifikat erstellt, das alte wäre morgen abgelaufen. Hier der SHA-1 Fingerabdruck: A7:9D:DA:BD:C3:03:68:7C:13:73:56:AB:6C:96:50:FC:B1:2A:52:07
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
Benutzeravatar
dac524
Beiträge: 246
Registriert: 07.05.2014 20:29
Wohnort: Halle
Kontaktdaten:

Re: neues Serverzertifikat

Beitrag von dac524 »

Hallo,

offensichtlich gab es eine Umstellung auf "letsencrypt". Seitdem wird mir auf dem Blackberry "https://freifunk-halle.org" geblockt! Hat irgendwer ähnliche Probleme?

VG Alex...


jabber: xmpp@dac524.de
mail: d a c 5 2 4 @ y a h o o . d e
pgp: https://pgp.mit.edu/pks/lookup?op=vinde ... 912DBAE462
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

wie sieht es mit https://www.freifunk-halle.org aus und https://freifunk-sachsen-anhalt.de sowie https://www.freifunk-sachsen-anhalt.de?
Kommt bei allen eine Fehlermeldung, vielleicht ist das root Zertifikat bei Blackberry noch nicht drin?
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
Benutzeravatar
dac524
Beiträge: 246
Registriert: 07.05.2014 20:29
Wohnort: Halle
Kontaktdaten:

Re: neues Serverzertifikat

Beitrag von dac524 »

3dfxatwork hat geschrieben:wie sieht es mit http://www.freifunk-halle.org aus
nein, weil: "HTTP-Strict-Transport-Security enabled"
3dfxatwork hat geschrieben: und freifunk-sachsen-anhalt.de
https://freifunk-sachsen-anhalt.de - lediglich Warnung vor selbst signiertem Zertifikat
3dfxatwork hat geschrieben: sowie http://www.freifunk-sachsen-anhalt.de?
http://freifunk-sachsen-anhalt.de - funktioniert
3dfxatwork hat geschrieben: vielleicht ist das root Zertifikat bei Blackberry noch nicht drin?
Das denke ich auch... Blöd ist nur, dass das wie ein Schlag ins Gesicht ist und quasi vorm Weltuntergang gewarnt wird...
Bei Android-Smartphones gibt es augenscheinlich keine Probleme.


jabber: xmpp@dac524.de
mail: d a c 5 2 4 @ y a h o o . d e
pgp: https://pgp.mit.edu/pks/lookup?op=vinde ... 912DBAE462
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

Sorry für meine Ungenauigkeit. Ich meinte immer mit https mir ging es um mit und ohne www in der Url.
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
Benutzeravatar
dac524
Beiträge: 246
Registriert: 07.05.2014 20:29
Wohnort: Halle
Kontaktdaten:

Re: neues Serverzertifikat

Beitrag von dac524 »

3dfxatwork hat geschrieben:Sorry für meine Ungenauigkeit. Ich meinte immer mit https mir ging es um mit und ohne www in der Url.
Achso... Ich dachte es ging (auch) um Zwangsverschlüsselung. Aber gern nochmal:
VG Alex...


jabber: xmpp@dac524.de
mail: d a c 5 2 4 @ y a h o o . d e
pgp: https://pgp.mit.edu/pks/lookup?op=vinde ... 912DBAE462
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: neues Serverzertifikat

Beitrag von 3dfxatwork »

Hmm beide Zertifikate sind mit LetsEncrypt erstellt und die Webserverkonfiguration ist auch gleich. Ich hab keine Ahnung, warum eins geblockt wird und das andere manuell akzeptierbar ist. Eine Vermutung ist noch, dass dein Browser mal ein gültiges Zertifikat für die freifunk-halle.org gesehen hat und nun nicht auf selbst signierte zurückfallen möchte (möglicherweise wegen des HSTS).
Du kannst mal schauen, LetsEncrypt cross signed ihre Zertifikate mit einer bekannteren CA. 1. ist wenigstens diese im Blackberry Zertifikatsspeicher und 2. Windows XP mit IE hat Probleme mit diesem cross signing, vielleicht gilt das auch für Blackberry.
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
Benutzeravatar
dac524
Beiträge: 246
Registriert: 07.05.2014 20:29
Wohnort: Halle
Kontaktdaten:

Re: neues Serverzertifikat

Beitrag von dac524 »

3dfxatwork hat geschrieben: dass dein Browser mal ein gültiges Zertifikat für die freifunk-halle.org gesehen hat und nun nicht auf selbst signierte zurückfallen möchte (möglicherweise wegen des HSTS).
Ich glaub das war der ausschlaggebende Punkt. Ich hab den BlackBerry-Browser bereinigt und sauber neu gestartet. Nun funktioniert alles wie gewohnt. Es wird nur noch vor selbst singiertem Zertifikat gewarnt.

Danke Dir...


jabber: xmpp@dac524.de
mail: d a c 5 2 4 @ y a h o o . d e
pgp: https://pgp.mit.edu/pks/lookup?op=vinde ... 912DBAE462
Antworten