Zertifikatsproblem



  • Hallo,

    im Moment (seit gestern Abend, 1.12.2017, ca. 22 Uhr) kann ich das Forum nur noch erreichen, wenn ich meine Systemzeit auf November zurücksetze.
    Anderenfalls bekomme ich einen Zertifikatsfehler vom Browser angezeigt.

    Habe ich auf meinem System ein Problem, oder ist es ein Fehler des Forums-Servers, der irgendwann behoben wird?



  • Es scheint das SSL-Zertifikat einfach abgelaufen zu sein. Anstatt die Systemzeit zu ändern, sollte es im Browser auch eine Möglichkeit geben, eine Ausnahme zuzulassen - zumindest vom Firefox, den ich benutze, weiß ich das.



  • Mein Firefox verweigert das mit Hinweis auf 'HTTP Strict Transport Security'?
    Sollte das Zertifikat nicht selbstständig erneuert werden, oder muss ich dafür etwas tun?

    Ich habe festgestellt, dass ich auf meinem anderen Rechner sowie auf meinem Handy dasselbe Problem habe ... 😕



  • Mit dem MS Internet Explorer wird man gefragt, ob man die unsichere Website dennoch öffnen will. Damit bin ich hier durchgedrungen. Der Link wird dann als Warnung in rosarot angezeigt. Firefox stellt keine Frage, sondern schafft nur Chaos und verhindert den Zugang. Keine Ahnung, wie man ihn trotzdem weiter zwingt. Mit http (oder ganz ohne) geht es auf jeden Fall nicht, springt immer - wie erwünscht - auf https um. Damit ist die Seite für normale Menschen erst mal "out". Ich hoffe, dass der Betreiber sein Zertifikat bald erneuert.

    FF meldet: Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.

    Interessant, dass der IE es dennoch anbietet. 😃

    www.c-plusplus.net verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist am Freitag, 1. Dezember 2017, 22:28 abgelaufen. Die aktuelle Zeit ist ... .
    Fehlercode: SEC_ERROR_EXPIRED_CERTIFICATE

    https://www.c-plusplus.net/forum/340599-530
    
    Das Zertifikat der Gegenstelle ist abgelaufen.
    
    HTTP Strict Transport Security: true
    HTTP Public Key Pinning: false
    
    Zertifikatskette:
    
    -----BEGIN CERTIFICATE-----
    MIIF0zCCBLugAwIBAgISAyfpYLuP5J6lIlsBfsVIfe9UMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA5MDIyMTI4MDBaFw0x
    NzEyMDEyMTI4MDBaMBkxFzAVBgNVBAMTDmMtcGx1c3BsdXMubmV0MIIBIjANBgkq
    hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqaG2IsWl1lb8Nse9n16kQjuAvH4SxNLe
    as+zsxhXsYmnYpg6YMTzXHIT6AwKSicMu77RoX+0HZOKeYLYWUYlQ5XdgIqQt7Dc
    8LkvV744dVtWE0g0DNzvJLoYpWnbsMtreul+8btCZz7MFBMPBA3QV3icdN43eQG1
    V7wFO36htR1elsGwnr1/DLJRcvqE/ukRS6wrep943Y585Zh9Bh0A4rjKGSrZkCch
    3zn/EeN5YZFy38z8bCqR0Blnsew08LQPqX1GopC/KNySCMcNL0nkYEsQPA0sOiAt
    oZff57yoZjrDSZTnl4vcnHIawvHeNAYGFin+MPNEzr40lEFXJwfAIwIDAQABo4IC
    4jCCAt4wDgYDVR0PAQH/BAQDAgWgMB0GA1UdJQQWMBQGCCsGAQUFBwMBBggrBgEF
    BQcDAjAMBgNVHRMBAf8EAjAAMB0GA1UdDgQWBBRs6EacqH9xeINJGt9fbSS96cTk
    QzAfBgNVHSMEGDAWgBSoSmpjBH3duubRObemRWXv86jsoTBvBggrBgEFBQcBAQRj
    MGEwLgYIKwYBBQUHMAGGImh0dHA6Ly9vY3NwLmludC14My5sZXRzZW5jcnlwdC5v
    cmcwLwYIKwYBBQUHMAKGI2h0dHA6Ly9jZXJ0LmludC14My5sZXRzZW5jcnlwdC5v
    cmcvMIHsBgNVHREEgeQwgeGCDWMtcGx1c3BsdXMuZGWCD2MtcGx1c3BsdXMuaW5m
    b4IOYy1wbHVzcGx1cy5uZXSCEG0uYy1wbHVzcGx1cy5uZXSCFm1hZ2F6aW4uYy1w
    bHVzcGx1cy5uZXSCFm1vbml0b3IuYy1wbHVzcGx1cy5uZXSCFnJlZG1pbmUuYy1w
    bHVzcGx1cy5uZXSCGXNwaWVsd2llc2UuYy1wbHVzcGx1cy5uZXSCEXd3dy5jLXBs
    dXNwbHVzLmRlghN3d3cuYy1wbHVzcGx1cy5pbmZvghJ3d3cuYy1wbHVzcGx1cy5u
    ZXQwgf4GA1UdIASB9jCB8zAIBgZngQwBAgEwgeYGCysGAQQBgt8TAQEBMIHWMCYG
    CCsGAQUFBwIBFhpodHRwOi8vY3BzLmxldHNlbmNyeXB0Lm9yZzCBqwYIKwYBBQUH
    AgIwgZ4MgZtUaGlzIENlcnRpZmljYXRlIG1heSBvbmx5IGJlIHJlbGllZCB1cG9u
    IGJ5IFJlbHlpbmcgUGFydGllcyBhbmQgb25seSBpbiBhY2NvcmRhbmNlIHdpdGgg
    dGhlIENlcnRpZmljYXRlIFBvbGljeSBmb3VuZCBhdCBodHRwczovL2xldHNlbmNy
    eXB0Lm9yZy9yZXBvc2l0b3J5LzANBgkqhkiG9w0BAQsFAAOCAQEAUlYU4X1cyTiG
    8lSGDq/W5IYKnsDdxFdaVWpJA3w0nA3fUqvEX209oLoCvDL4dy/ih1wKufGzseeu
    VyAgnkFIyJROMEF0RlMTfhAAnhG26dTgaONcocV//M458Ye8Krtnr0m55uDmazvE
    6V5QiG91LPCrEGoHOgDn5lqjDj8vPR7SFbyAUftauaVnGFB5Bf00+DthVsHrichS
    3C4vzgm9dNe5k4ZOv+qb60j3p1PhWXpCClvd3jXM7u57PMPMxOnwjAZfiIUwyh5Z
    83mgmc+qH5kaW50h62YbZirnsrqTffIjhf55YvMGPPcZCCgQ1KMDbtiqXzgcsx2+
    E81yt2Sg0A==
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
    MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
    DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
    SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
    GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
    AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF
    q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8
    SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0
    Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA
    a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj
    /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T
    AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG
    CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv
    bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k
    c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw
    VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC
    ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz
    MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu
    Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF
    AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo
    uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/
    wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu
    X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG
    PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6
    KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
    -----END CERTIFICATE-----
    

    Interessanter Vorgang. Wenn Hacker es schafften, großflächig wichtige Websites auf diese Art lahm zu legen, das wäre auch ein raffinierter Angriff.


  • Administrator

    Wurde erst gerade darüber informiert. Ist nun behoben. Aus irgendeinem Grund hat der Nginx-Server nicht automatisch das Zertifikat neu geladen. Eigentlich sollte er das Zertifikat nach der Erneuerung automatisch neu laden, aber das ist aus irgendeinem Grund am 1. November nicht passiert und aus einem weiteren unbekannten Grund, gab es keinen Fehler. Werde dem nun nachgehen. Entschuldigung für die Unannehmlichkeit.



  • Wird das Cert per Cronjob erneuert? Geht auf den von mir verwalteten Servern (CentOS) immer problemlos.

    certbot renew --post-hook "systemctl reload nginx"
    

  • Administrator

    Ivo schrieb:

    Wird das Cert per Cronjob erneuert? Geht auf den von mir verwalteten Servern (CentOS) immer problemlos.

    certbot renew --post-hook "systemctl reload nginx"
    

    Ging bisher auch bei mir immer problemlos. Ist hier ein:

    /usr/bin/certbot renew -t -n -q --post-hook "/usr/sbin/service nginx reload"
    

  • Administrator

    Problem gefunden und gelöst. Debian installiert einen eigenen Cron-Task. Der hatte keinen Hook drin, wodurch das Zertifikat erneuert wurde, aber Nginx nicht darüber informiert.

    Empfinde ich als sehr fragwürdig, dass Debian selber einen solchen Task installiert. Die haben ja keine Ahnung wie das Setup aussieht und bieten keinerlei Möglichkeit an, um z.B. einen Webserver über das veränderte Zertifikat informieren zu können. Aber gut zu wissen. Meine nicht Debian-Server haben diesen Task nicht automatisch drin.



  • Wurden die neuen Certs mit einem "000x" am Ende angelegt, worauf dann die Pfade im nginx vhost nicht mehr gepasst haben? Das hatte ich vor einigen Wochen mal, war aber eine Ubuntu-Kiste eines Kunden mit "Easy Engine" als Konfiguration.

    Komisch das kein Fehler in die Log geschrieben worden ist...

    [edit] zu spät...


  • Administrator

    Ivo schrieb:

    Wurden die neuen Certs mit einem "000x" am Ende angelegt, worauf dann die Pfade im nginx vhost nicht mehr gepasst haben? Das hatte ich vor einigen Wochen mal, war aber eine Ubuntu-Kiste eines Kunden mit "Easy Engine" als Konfiguration.

    Das ist ja normal. Er behält eine gewisse Anzahl alter Zertifikate. Deshalb gibt es die live Soft-Links. Meine Webserver holen die Zertifikate immer über diese Soft-Links, welche dann von certbot bei der Erneuerung aktualisiert werden.



  • @Belli, HSTS wird fuer hosts gecached.
    Um eine ausnahme hinzuzufuegen muesstest du firefox killen, in deinen profile ordner wechseln und den hostname aus der SiteSecurityServiceState.txt entfernen. Dann kannst du eine ausnahme hinzufuegen.