sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5350
|
cosinus schrieb: sebix schrieb: Das Problem ist nicht das Vertrauen, sondern dass Chrome den Common Name auch in den Subject Alternative Names haben will. Steht auch so in der Fehlermeldung drinnen.
Es warnt aber jeder Browser wenn schon ein kleines Ding im Cert nicht stimmt.
Eigentlich gilt das seit 2000 mit RFC 2818:
If a subjectAltName extension of type dNSName is present, that MUST
be used as the identity. Otherwise, the (most specific) Common Name
field in the Subject field of the certificate MUST be used. Although
the use of the Common Name is existing practice, it is deprecated and
Certification Authorities are encouraged to use the dNSName instead.
Hervorhebung von mir. Siehe auch: https://www.chromestatus.com/features/4981025180483584
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Ok, danke mal für all eure Antworten. Ich werd das einfach austesten. Ist sicherlich hin zu bekommen ☺
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
Hallo Dark_Wolf, du hast insgesamt 3 Möglichkeiten. Die ersten beiden sind hier im Wiki bestens dokumentiert. Punkt 3 ist noch in der Baustelle. 1. Self-Signed-Zertifikate und Warung im Browser ssl-cert (einfach) 2. Self-Signed-Zertifikate über eigene CA. Das CA-Zertifikat im Browser importieren - und keine Warnung mehr haben. (komplexer) 3. Dir ein offizielles Zertifikat über bspw. letsencrypt besorgen. (mittel schwierig. Voraussetzung ist mindestens, dass du im Besitz einer öffentlichen Domain bist). Wenn du weitere Hilfe brauchst, einfach melden.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Für nen Server, der nur intern erreichbar sein muss, reicht doch ein selbst unterschriebenes Cert dicke aus. Muss man halt nur die Ausnahme im Browser setzen. Auch nen eigenen Server im Netz betreibt zB Forum, der dann auch für die Öfentlichkeit bestimmt ist, da muss dann sowas wie letsencrypt her. Also ein vernünftiges Cert, bei dem alles stimmt und das nicht selfsigned ist.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Da sich noch keiner des eigentlichen Problems angenommen hat: Dark_Wolf schrieb: In Google Chrome zur so halb grün. Fehlermeldung in Google-Chrome:
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).
Was bedeutet das nun?
Das heißt, dass dein Zertifikat keine SubjectAlternativeNames-Extension enthält, die mittlerweile aber Pflicht ist, denn der CommonName ist laut RFC nicht (mehr?) ausschlaggebend (wobei bis jetzt die meisten Implementationen bisher darüber hinweggesehen haben). Du kannst also das Problem einfach beheben, indem du in deinem Zertifikatsworkflow auch immer die SAN-Extension nutzt, auch wenn die nur den gleichen Namen wie der CommonName enthält. Nur nochmal zur Klarstellung: Du kannst natürlich in jedem Browser dein CA-Zertifikat hinterlegen, womit deinen Server-Zertifikaten dann auch vertraut wird. Das war hier im Thread nicht ganz klar rausgekommen.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
@misterunknown
Vielen, vielen Dank! Jetzt ist mir das endlich mal richtig klar. Das dieses Teil dann SAN-Extension heist, wusste ich nicht. Suchte immer wieder nach SubjectAlternativeNames-Extension. Na dann bau ich mal. Meld mich zurück wie es geklappt hat. BTW: Gibt es sonst noch irgendwelche Empfehlungen. Also das man dann doch einige Jahre Ruhe hat, und nicht immer ein neues Cert bauen muss, oder gar ne neue Chain.
Danke. ☺
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Dark_Wolf schrieb: BTW: Gibt es sonst noch irgendwelche Empfehlungen. Also das man dann doch einige Jahre Ruhe hat, und nicht immer ein neues Cert bauen muss, oder gar ne neue Chain.
Ob du Ruhe hast, kommt drauf an, wie lange RSA durchhält 😉 Ich empfehle auf jeden Fall immer Schlüssel mit mindestens 2048 Bit und vernünftige Passwörter zu nutzen. Ansonsten kann man da nicht viel falsch machen. Falls du übrigens noch keine Skripte für die Verwaltung deiner PKI hast, empfehle ich easy-rsa.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
misterunknown schrieb: Da sich noch keiner des eigentlichen Problems angenommen hat: Dark_Wolf schrieb: In Google Chrome zur so halb grün. Fehlermeldung in Google-Chrome:
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
There are issues with the site's certificate chain (net::ERR_CERT_COMMON_NAME_INVALID).
Was bedeutet das nun?
Das heißt, dass dein Zertifikat keine SubjectAlternativeNames-Extension enthält, die mittlerweile aber Pflicht ist, denn der CommonName ist laut RFC nicht (mehr?) ausschlaggebend (wobei bis jetzt die meisten Implementationen bisher darüber hinweggesehen haben). Du kannst also das Problem einfach beheben, indem du in deinem Zertifikatsworkflow auch immer die SAN-Extension nutzt, auch wenn die nur den gleichen Namen wie der CommonName enthält. Nur nochmal zur Klarstellung: Du kannst natürlich in jedem Browser dein CA-Zertifikat hinterlegen, womit deinen Server-Zertifikaten dann auch vertraut wird. Das war hier im Thread nicht ganz klar rausgekommen.
Ok danke nochmal, dass du dich dem angenommen hast.
Aber: ein Browser meckert doch sofort herum wenn auch nur eine Sache mit dem Cert nicht stimmt. Es kann alles i.O. sein mit dem Cert abgesehen davon, dass es selbst unterschrieben ist, dann muss ich doch eh immer wie Warnung wegklicken oder Cert importieren. Ist das bei "eigenen" Certs dann eh nicht egal was man damit macht? Genau das hab ich hier doch ein paar mal geschrieben oder war das zu undeutlich. 😕 Wenn ich einen Server ins Netz stellen und für ein breites (unbekanntes) Publikum isses ja klar, dass mit dem Cert ALLES stimmen sollte.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cosinus schrieb: Aber: ein Browser meckert doch sofort herum wenn auch nur eine Sache mit dem Cert nicht stimmt.
Was meinst du konkret?
Es kann alles i.O. sein mit dem Cert abgesehen davon, dass es selbst unterschrieben ist, dann muss ich doch eh immer wie Warnung wegklicken oder Cert importieren.
Ja, der TS hat seine CA ja importiert. Die Fehlermeldung des Browsers hatte auch nichts damit zu tun, dass das Zertifikat selbst unterschrieben ist.
Ist das bei "eigenen" Certs dann eh nicht egal was man damit macht? Genau das hab ich hier doch ein paar mal geschrieben oder war das zu undeutlich. 😕
Nein. Es gibt nur einen einzigen Unterschied zwischen selbstsignierten Zertifikaten und "öffentlichen" Zertifikaten: Und zwar, dass den öffentlichen Zertifikaten per Default vertraut wird. IE nutzt die mit Windows mitgelieferten Zertifikate als Vertrauensquelle, Firefox bringt seinen eigenen Truststore mit. Chrome hat früher AFAIK auch den Trust-Store von Windows mit genutzt, hat aber mittlerweile glaube auch einen eigenen. Das ist also der einzige Unterschied – alles andere ist identisch. Man kann also auch mit selbstsignierten Zertifikaten ein grünes Symbol bekommen, sofern die CA importiert ist.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
misterunknown schrieb: cosinus schrieb: Aber: ein Browser meckert doch sofort herum wenn auch nur eine Sache mit dem Cert nicht stimmt.
Was meinst du konkret?
Nix Konkretes. Ich meine damit, dass es ja nur eine Abweichung geben muss und der Browser warnt, dass die Verbindung nicht sicher sei. Das ist eigentlich ein Nebenkriegsschauplatz aber an für sich ist das doch besser als jede andere öffentliche HTTP-Seite. (also kein HTTPS sondern unverschlüsselt)
Ja, der TS hat seine CA ja importiert. Die Fehlermeldung des Browsers hatte auch nichts damit zu tun, dass das Zertifikat selbst unterschrieben ist.
Wenn man eine dauerhafte Ausnahme macht meckert der Browser auch danach nicht rum, egal was mit dem Cert ist. Oder verhält sich Google Chrome anders als der FF?
Nein. Es gibt nur einen einzigen Unterschied zwischen selbstsignierten Zertifikaten und "öffentlichen" Zertifikaten: Und zwar, dass den öffentlichen Zertifikaten per Default vertraut wird. IE nutzt die mit Windows mitgelieferten Zertifikate als Vertrauensquelle, Firefox bringt seinen eigenen Truststore mit. Chrome hat früher AFAIK auch den Trust-Store von Windows mit genutzt, hat aber mittlerweile glaube auch einen eigenen. Das ist also der einzige Unterschied – alles andere ist identisch. Man kann also auch mit selbstsignierten Zertifikaten ein grünes Symbol bekommen, sofern die CA importiert ist.
Nun, ich hau einfach eine dauerhafte Ausnahme rein wenn ich einen internen HTTPS besuche. Sollte bei HTTP nicht viel mehr Wind gemacht werden? Jedenfalls mehr als bei HTTPS mit selfsigned Certs oder so. Nur weil es selfsigned ist, heißt es ja nicht, dass es automatisch unsicher ist.
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
cosinus schrieb: Nun, ich hau einfach eine dauerhafte Ausnahme rein wenn ich einen internen HTTPS besuche.
Darum geht es doch aber hier gar nicht.
Sollte bei HTTP nicht viel mehr Wind gemacht werden? Jedenfalls mehr als bei HTTPS mit selfsigned Certs oder so. Nur weil es selfsigned ist, heißt es ja nicht, dass es automatisch unsicher ist.
Doch. Da ziehen ja die Browser(-Hersteller) jetzt auch endlich nach. Aber auch darum geht es hier nicht. Es geht um CA
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
BillMaier schrieb: cosinus schrieb: Nun, ich hau einfach eine dauerhafte Ausnahme rein wenn ich einen internen HTTPS besuche.
Darum geht es doch aber hier gar nicht.
Das ist ein Unterthema bzgl SSL-Certs wenn man so will.
Doch. Da ziehen ja die Browser(-Hersteller) jetzt auch endlich nach. Aber auch darum geht es hier nicht. Es geht um CA
Aber nicht um "offizielle" Certs, sondern der TO will doch weiterhin manuell seine Certs importieren. Oder nicht?
Was ist denn daran soviel anders, als einfach ne Ausnahme zu definieren? Wer ganz saubere Certs haben will, zB für einen öffentliches Forum für ein breites Publikum, muss eh sowas wie letsencrypt nehmen oder von einer Zertifierzugnsstelle kaufen (wie zB thawte). Wer einen öffentlich Server hat aber nur seinen bekannten Personenkreis diesen nennt, für den reichen auch selfsigned Certs. Weil der Personenkreis wohl den Betreiber dieses Servers kennt und ihm vertraut.
|
BillMaier
Supporter
Anmeldungsdatum: 4. Dezember 2008
Beiträge: 6473
|
cosinus schrieb: Was ist denn daran soviel anders, als einfach ne Ausnahme zu definieren?
Es lässt sich bspw. zentral verwalten. Und es ist auch möglich, Zertifikate zurück zu ziehen. Der TS hat sich für diesen Weg entschieden - ich nehme an aus gutem Grund. Vielleicht will er auch einfach wissen, wie sowas geht.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Das kann natürlich sein. Ich will hier ja auch nicht jmd irgendwas verbieten oder so 😊 hab mich einfach nur gefragt warum so ein Umstand wenn jeder Browser ne Ausnahmen zu erstellen erlaubt.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cosinus schrieb: Nix Konkretes.
Das ist immer schlecht.
Ich meine damit, dass es ja nur eine Abweichung geben muss und der Browser warnt, dass die Verbindung nicht sicher sei.
Wenn ein Browser bei Zertifikaten vor Unsicherheit warnt hat das zu 99% einen der folgenden Gründe:
Der CA wird nicht generell nicht vertraut. Das ist bei selbstsignierten Zertifikaten der Fall für die weder die CA importiert wurde, noch eine Ausnahme definiert. Der aufgerufene Name steht nicht in den SubjectAlternativeNames. Das Zertifikat ist abgelaufen, also nicht mehr gültig.
Das sind die relevanten inhaltlichen Kriterien, die stimmen müssen. Es gibt zwar auch noch andere Fehler, allerdings sind die meist technischer Art.
Das ist eigentlich ein Nebenkriegsschauplatz aber an für sich ist das doch besser als jede andere öffentliche HTTP-Seite. (also kein HTTPS sondern unverschlüsselt)
Nein, denn bei einer Warnung ist die Gegenseite eventuell kompromittiert. Das kann bei HTTP zwar auch passieren, allerdings macht man über HTTP auch keine wichtigen Sachen, wie Online-Banking oder Einkäufe. Daher warnen die Browser auch mittlerweile bei Passworteingaben über HTTP.
Wenn man eine dauerhafte Ausnahme macht meckert der Browser auch danach nicht rum, egal was mit dem Cert ist.
Da bin ich mir nicht sicher. Ich würde aber erwarten, dass die Ausnahme nur das Vertrauen garantiert. Wenn das Zertifikat beispielsweise abgelaufen ist, sollte man zumindest darauf hingewiesen werden.
Nun, ich hau einfach eine dauerhafte Ausnahme rein wenn ich einen internen HTTPS besuche.
Das musst du dann aber für jede Seite, die du intern besuchst einzeln machen. Wenn du einfach deine CA importierst, akzeptiert der Browser alle Zertifikate, die damit unterschrieben sind.
Nur weil es selfsigned ist, heißt es ja nicht, dass es automatisch unsicher ist.
Doch. Wenn du bei dir intern irgendwelche eigenen Zertifikate nutzt, dann weißt du das natürlich, aber der Browser nicht. Ihm muss das also erst beigebracht werden. Bei anderen Seiten, beispielsweise Paypal oder Amazon oder so, sollte man sich unbedingt die Fehlermeldung genau angucken, weil das auf eine MITM-Attacke hindeutet.
|