Zertifikatsproblem

Belli

Hallo,

im Moment (seit gestern Abend, 1.12.2017, ca. 22 Uhr) kann ich das Forum nur noch erreichen, wenn ich meine Systemzeit auf November zurücksetze.
Anderenfalls bekomme ich einen Zertifikatsfehler vom Browser angezeigt.

Habe ich auf meinem System ein Problem, oder ist es ein Fehler des Forums-Servers, der irgendwann behoben wird?

Jodocus

Es scheint das SSL-Zertifikat einfach abgelaufen zu sein. Anstatt die Systemzeit zu ändern, sollte es im Browser auch eine Möglichkeit geben, eine Ausnahme zuzulassen - zumindest vom Firefox, den ich benutze, weiß ich das.

Belli

Mein Firefox verweigert das mit Hinweis auf 'HTTP Strict Transport Security'?
Sollte das Zertifikat nicht selbstständig erneuert werden, oder muss ich dafür etwas tun?

Ich habe festgestellt, dass ich auf meinem anderen Rechner sowie auf meinem Handy dasselbe Problem habe ...

Erhard Henkes

Mit dem MS Internet Explorer wird man gefragt, ob man die unsichere Website dennoch öffnen will. Damit bin ich hier durchgedrungen. Der Link wird dann als Warnung in rosarot angezeigt. Firefox stellt keine Frage, sondern schafft nur Chaos und verhindert den Zugang. Keine Ahnung, wie man ihn trotzdem weiter zwingt. Mit http (oder ganz ohne) geht es auf jeden Fall nicht, springt immer - wie erwünscht - auf https um. Damit ist die Seite für normale Menschen erst mal "out". Ich hoffe, dass der Betreiber sein Zertifikat bald erneuert.

FF meldet: Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.

Interessant, dass der IE es dennoch anbietet.

www.c-plusplus.net verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat ist am Freitag, 1. Dezember 2017, 22:28 abgelaufen. Die aktuelle Zeit ist ... .
Fehlercode: SEC_ERROR_EXPIRED_CERTIFICATE

https://www.c-plusplus.net/forum/340599-530

Das Zertifikat der Gegenstelle ist abgelaufen.

HTTP Strict Transport Security: true
HTTP Public Key Pinning: false

Zertifikatskette:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow
SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT
GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC
AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF
q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8
SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0
Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA
a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj
/PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T
AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG
CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv
bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k
c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw
VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC
ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz
MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu
Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF
AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo
uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/
wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu
X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG
PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6
KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg==
-----END CERTIFICATE-----

Interessanter Vorgang. Wenn Hacker es schafften, großflächig wichtige Websites auf diese Art lahm zu legen, das wäre auch ein raffinierter Angriff.

Dravere

Wurde erst gerade darüber informiert. Ist nun behoben. Aus irgendeinem Grund hat der Nginx-Server nicht automatisch das Zertifikat neu geladen. Eigentlich sollte er das Zertifikat nach der Erneuerung automatisch neu laden, aber das ist aus irgendeinem Grund am 1. November nicht passiert und aus einem weiteren unbekannten Grund, gab es keinen Fehler. Werde dem nun nachgehen. Entschuldigung für die Unannehmlichkeit.

Ivo

Wird das Cert per Cronjob erneuert? Geht auf den von mir verwalteten Servern (CentOS) immer problemlos.

certbot renew --post-hook "systemctl reload nginx"

Dravere

Ivo schrieb:

Wird das Cert per Cronjob erneuert? Geht auf den von mir verwalteten Servern (CentOS) immer problemlos.

certbot renew --post-hook "systemctl reload nginx"

Ging bisher auch bei mir immer problemlos. Ist hier ein:

/usr/bin/certbot renew -t -n -q --post-hook "/usr/sbin/service nginx reload"

Dravere

Problem gefunden und gelöst. Debian installiert einen eigenen Cron-Task. Der hatte keinen Hook drin, wodurch das Zertifikat erneuert wurde, aber Nginx nicht darüber informiert.

Empfinde ich als sehr fragwürdig, dass Debian selber einen solchen Task installiert. Die haben ja keine Ahnung wie das Setup aussieht und bieten keinerlei Möglichkeit an, um z.B. einen Webserver über das veränderte Zertifikat informieren zu können. Aber gut zu wissen. Meine nicht Debian-Server haben diesen Task nicht automatisch drin.

Ivo

Wurden die neuen Certs mit einem "000x" am Ende angelegt, worauf dann die Pfade im nginx vhost nicht mehr gepasst haben? Das hatte ich vor einigen Wochen mal, war aber eine Ubuntu-Kiste eines Kunden mit "Easy Engine" als Konfiguration.

Komisch das kein Fehler in die Log geschrieben worden ist...

[edit] zu spät...

Dravere

Ivo schrieb:

Wurden die neuen Certs mit einem "000x" am Ende angelegt, worauf dann die Pfade im nginx vhost nicht mehr gepasst haben? Das hatte ich vor einigen Wochen mal, war aber eine Ubuntu-Kiste eines Kunden mit "Easy Engine" als Konfiguration.

Das ist ja normal. Er behält eine gewisse Anzahl alter Zertifikate. Deshalb gibt es die live Soft-Links. Meine Webserver holen die Zertifikate immer über diese Soft-Links, welche dann von certbot bei der Erneuerung aktualisiert werden.

Ein ehemaliger Benutzer

@Belli, HSTS wird fuer hosts gecached.
Um eine ausnahme hinzuzufuegen muesstest du firefox killen, in deinen profile ordner wechseln und den hostname aus der SiteSecurityServiceState.txt entfernen. Dann kannst du eine ausnahme hinzufuegen.