ubuntuusers.de

Hallo Leute,

ich hab hier nen Webserver mit HTTPS am laufen. Ubuntu tut sich schon seit anbeginn der Zeit selbst updaten. Dabei dürfe etwas mit dem Apache Webserver nicht stimmen. Denn nachvollziebar, wenn man von der Version 2.4.29-1ubuntu4.11 auf die 2.4.29-1ubuntu4.12 aktualisiert, funktioniert HTTPS im GoogleChrome oder Chromium nicht mehr. Die Fehlermeldung lautet: "ERR_SSL_KEY_USAGE_INCOMPATIBLE". Hab dann natürlich nach der Meldung gesucht, schlau geworden bin ich draus aber nicht. Naja, in Firefox tut das normal. Ausserdem war das ja nur ein Miniupdate. Kann mir jemand sagen was da nun nicht mehr tut? Oder was ihr benötigt an Info's um mir hier weiter helfen zu können? Ich mach mal schnell ein Rollback ☺ und sperr für's erste die Pakete.

glg Dark Wolf

Was kommt da für ein Zertifikat zum Einsatz? Eventuell hängt es ja daran, was da für die Key Usage gesetzt ist: https://superuser.com/questions/1451895/err-ssl-key-usage-incompatible-solution

Mit Blick auf StackExchange gehe ich davon aus, dass es nicht so sehr an dem Apache-Update lag, sondern nahezu zeitgleich auch noch irgendwas im Chrome aktualisiert worden sein muss. Eine weitere Möglichkeit, warum das jetzt erst so passiert: Es gab zwischendurch ein neues Zertifikat (woher auch immer) und die notwendigen Dateien sind erst nach dem Neustart des Dienstes im Rahmen der Aktualisierung geladen worden.

SSL-Zertifikate können Informationen darüber enthalten, für welche Zwecke sie verwendet werden dürfen (z.B. Client-/Serveridentifizierung, Code Signing). Die Fehlermeldung ERR_SSL_KEY_USAGE_INCOMPATIBLE deutet darauf hin, dass Chrome nicht den notwendigen Verwendungszweck in deinem Zertifikat findet.

Sch dir den Link mal an und lass uns wissen, ob es klappt oder wo etwas unklar ist.

Danke Leute,

hier mal ein Bildchen von den Optionen die da im selbst generierten Zertifikat enthalten sind. (Anhang) Das dürft das sein.

Na jedenfalls liegt es wohl nicht am Chrome alleine. Den es ist nachvollziehbar. Mit der einen Apacheversion gehts, mit der anderen nicht. Rollback der VM, Test von vorne, selbes Ergebnis. Ich hab dann das ganze auch bei ner anderen bestehende Maschine getestet. Gleiches Problem.

Und eine Lösung wäre natürlich das Zertifikat (Wildcard-Zertifikat) neu zu bauen. Das macht aber irgendwie keinen Spass. Weil dann muss man wieder die dafür vorgesehen DEB Pakete hier intern aus rollen. Auf Chrome gehen die Certs nicht von alleine rein, leider nur in Firefox und von den Androidgeräten red ich erst gar nicht.

Nachdem es wohl auch an der Apacheversion liegt, könnte man viel. nicht was an einer Config schrauben? Jemand viel. ne Idee?

Vielen Dank

EDIT: Seht ihr da nen Anhang? Ich nämlich nicht. Bei Bearbeiten und Hochladen aber schon, nach dem Speicher nicht...

Dark_Wolf schrieb:

Und eine Lösung wäre natürlich das Zertifikat (Wildcard-Zertifikat) neu zu bauen. Das macht aber irgendwie keinen Spass. Weil dann muss man wieder die dafür vorgesehen DEB Pakete hier intern aus rollen.

Mit einem Tool wie Ansible ist das doch im Nu erledigt, wenn man eine halbwegs brauchbare Infrastruktur geschaffen hat.

Auf Chrome gehen die Certs nicht von alleine rein, leider nur in Firefox und von den Androidgeräten red ich erst gar nicht.

Normalerweise hat man ein root-Zertifikat, das man auf den Clients als vertrauenswürdig hinterlegt und damit signierte Zertifikate kann man dann nach Bedarf auf den einzelnen Servern generieren bzw. austauschen, ohne die Clients extra anfassen zu müssen. Wenn dein jetziges Zertifikat andere Zertifikate signieren darf, sollte das doch recht schmerzlos sein ein neues Zertifikat zu erstellen.

Nachdem es wohl auch an der Apacheversion liegt, könnte man viel. nicht was an einer Config schrauben? Jemand viel. ne Idee?

Also laut https://launchpad.net/ubuntu/+source/apache2/2.4.29-1ubuntu4.12 kam in der Version ein Backport für die Unterstützung von TLS V1.3 dazu. Ich würde das aus Sicherheitsüberlegungen heraus nicht unbedingt empfehlen, aber vielleicht hilft es eine ältere TLS-Version zu erzwingen.

Ja du hast natürlich Recht. Foreman haben wir eh. Wäre wohl ein Zeitpunkt die Chain mal richtig zu bauen. Na gut. Ich mach hier mal auf erledigt und mach das neu. Lieber richtig, als halb.

Danke euch ☺

Hallo Leute,

ganz klar ists mir noch immer nicht. Denn das gleiche Zertifikate hab ich auch auf CentOS, und Emby und anderen Dingen im Einsatz. Dort funktioniert es. Emby z.b. läuft auch auf Ubuntu, nur eben nicht auf Apache. Aus diesem Grund denke ich hat es nur indirekt mit Google Chrome zu tun, sondern viel mehr mit Apache2 von Ubuntu 18.04.

Hast du denn mal verglichen, welche TLS-Versionen da für Verbindungen zum Einsatz kommen?