Hallo Leute!
Ich habe ein komisches Problem mit Firefox 45.8.0... Wenn ich eine Seite (die Verwaltungsseite eines Programms von mir auf meinem Server) aufrufe, bekomme ich diesen Fehler:
Der Inhaber von www.lucabert.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
www.lucabert.de:XXXXX uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Rufe ich die selbe URL im "anonymen Modus" auf, kann ich die Seite benutzen... Hat jemand eine Erklärung? Und, viel wichtiger, eine "richtige" Lösung (naja, die Seite in anonym-Modus aufzurufen ist keine echte Lösung...)?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hoi Luca,
also ich kann Deine Webseite in meinem aktuellen Firefox sauber anschauen, es kommt auch keine Fehlermeldung bezüglich eines "self signed certificates".
Ich muss allerdings gestehen, ich nutze bereits Firefox 52.0-2.
Ein Test von ssl-LAbs zeigt aktuell: https://www.ssllabs.com/ssltest/analyze.html?d=www.lucabert.de&s=84.200....
... dass Du Recht hast. Deinem Zertifikat wird aktuell nicht vertraut. Auf die Frage von SSL LAbs bezüglich "warum wird Deinem Zertifikat nicht vertraut", kommt folgender Hinweis:
https://www.ssllabs.com/ssltest/analyze.html?d=www.lucabert.de&s=84.200....
Ich denke, dass entweder das CA bei neueren Firefox-Versionen mit im Trust-Store liegt und Du schon ein aktuelleres hast (dann könnte das mitliefern des CAs bei der SSL Konfiguration im Apache hilfreich sein. Andere Möglichkeiten sehe ich derzeit nicht ... oder hast Du ggf. SNI beim Web-Server am Start und es wird ggf. ein falsches Zertifikat ausgeliefert?
mfg Martin
Am 11.03.2017 um 20:29 schrieb Luca Bertoncello:
Hallo Leute!
Ich habe ein komisches Problem mit Firefox 45.8.0... Wenn ich eine Seite (die Verwaltungsseite eines Programms von mir auf meinem Server) aufrufe, bekomme ich diesen Fehler:
Der Inhaber von www.lucabert.de hat die Website nicht richtig konfiguriert. Firefox hat keine Verbindung mit dieser Website aufgebaut, um Ihre Informationen vor Diebstahl zu schützen.
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
www.lucabert.de:XXXXX uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Rufe ich die selbe URL im "anonymen Modus" auf, kann ich die Seite benutzen... Hat jemand eine Erklärung? Und, viel wichtiger, eine "richtige" Lösung (naja, die Seite in anonym-Modus aufzurufen ist keine echte Lösung...)?
Danke Luca Bertoncello (lucabert@lucabert.de)
Martin Schuchardt kruemeltee@gmx.de schrieb:
Hallo Martin
also ich kann Deine Webseite in meinem aktuellen Firefox sauber anschauen, es kommt auch keine Fehlermeldung bezüglich eines "self signed certificates".
Meine __NORMALE__ Seite hat kein selbstsigniertes Zertifikat, sondern ein Zertifikat von CACert...
Ich denke, dass entweder das CA bei neueren Firefox-Versionen mit im Trust-Store liegt und Du schon ein aktuelleres hast (dann könnte das mitliefern des CAs bei der SSL Konfiguration im Apache hilfreich sein. Andere Möglichkeiten sehe ich derzeit nicht ... oder hast Du ggf. SNI beim Web-Server am Start und es wird ggf. ein falsches Zertifikat ausgeliefert?
Das Problem kommt mit einer Seite auf einer anderen Port, die nur per HTTPs zu nutzen ist und die eine Authentifizierung mit Zertifikat verlangt. Da mehrere Personen die Seite nutzen sollen und ich nicht diese Personen zumuten konnte die Zertifikate bei CACert zu beantragen, oder bei jemanden anderen zu bezahlen, habe ich eine eigene CA angelegt und die Zertifikate selber signiert.
Die CA habe ich natürlich in Firefox importiert, allerdings habe ich das genannte Problem. Nutze ich die Seite einfach so, bekomme ich den Fehler. Nutze ich die Seite in "anonym-Modus" von Firefox, geht es.
Kann jemand mir dieses Problem erklären?
Danke Luca Bertoncello (lucabert@lucabert.de)
Hoi Luca,
dass gib mal den "anderen" Port preis, weil nur dann kann ich schauen, was da für ein Zertifikat läuft.
Greets Martin
Am 11.03.2017 um 22:11 schrieb Luca Bertoncello:
Martin Schuchardt kruemeltee@gmx.de schrieb:
Hallo Martin
also ich kann Deine Webseite in meinem aktuellen Firefox sauber anschauen, es kommt auch keine Fehlermeldung bezüglich eines "self signed certificates".
Meine __NORMALE__ Seite hat kein selbstsigniertes Zertifikat, sondern ein Zertifikat von CACert...
Ich denke, dass entweder das CA bei neueren Firefox-Versionen mit im Trust-Store liegt und Du schon ein aktuelleres hast (dann könnte das mitliefern des CAs bei der SSL Konfiguration im Apache hilfreich sein. Andere Möglichkeiten sehe ich derzeit nicht ... oder hast Du ggf. SNI beim Web-Server am Start und es wird ggf. ein falsches Zertifikat ausgeliefert?
Das Problem kommt mit einer Seite auf einer anderen Port, die nur per HTTPs zu nutzen ist und die eine Authentifizierung mit Zertifikat verlangt. Da mehrere Personen die Seite nutzen sollen und ich nicht diese Personen zumuten konnte die Zertifikate bei CACert zu beantragen, oder bei jemanden anderen zu bezahlen, habe ich eine eigene CA angelegt und die Zertifikate selber signiert.
Die CA habe ich natürlich in Firefox importiert, allerdings habe ich das genannte Problem. Nutze ich die Seite einfach so, bekomme ich den Fehler. Nutze ich die Seite in "anonym-Modus" von Firefox, geht es.
Kann jemand mir dieses Problem erklären?
Danke Luca Bertoncello (lucabert@lucabert.de)
Am 11.03.2017 um 20:29 schrieb Luca Bertoncello:
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
www.lucabert.de:XXXXX uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Mach dich mal zu HSTS schlau -- vielleicht gilt die Angabe für die gesamte Domain an allen Ports.
Uwe
Hi,
Am Sat, 11 Mar 2017 22:47:00 +0100 schrieb Uwe Koloska uwe@koloro.de:
Mach dich mal zu HSTS schlau -- vielleicht gilt die Angabe für die gesamte Domain an allen Ports.
https://tools.ietf.org/html/rfc6797#appendix-B
" UAs apply HSTS Policy whenever making an HTTP connection to a Known HSTS Host, regardless of host port number; i.e., it applies to all ports on a Known HSTS Host. Hosts are unable to affect this aspect of HSTS Policy. "
Das heißt wohl, dass Lucabert eine Subdomain verwenden muss für seinen zweiten Dienst, welche dann von der Gültigkeit der HSTS-Policy ausgenommen ist. Die Subdomain kann natürlich auf die gleiche IP zeigen.
Carsten
Luca Bertoncello lucabert@lucabert.de (Sa 11 Mär 2017 20:29:31 CET): …
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
Der HSTS Zustand wird in einem Cache gehalten. Der anonyme Modus verspricht m.W., nichts zu cachen.
www.lucabert.de:XXXXX uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Rufe ich die selbe URL im "anonymen Modus" auf, kann ich die Seite benutzen... Hat jemand eine Erklärung? Und, viel wichtiger, eine "richtige" Lösung (naja, die Seite in anonym-Modus aufzurufen ist keine echte Lösung...)?
HSTS ausschalten für die Testphase. Oder ein echtes Zertifikat besorgen.
Heiko Schlittermann hs@schlittermann.de schrieb:
Luca Bertoncello lucabert@lucabert.de (Sa 11 Mär 2017 20:29:31 CET): …
Diese Website verwendet HTTP Strict Transport Security (HSTS), um mitzuteilen, dass Firefox nur über gesicherte Verbindungen mit ihr kommunizieren soll. Daher ist es nicht möglich, eine Ausnahme für dieses Zertifikat anzulegen.
Der HSTS Zustand wird in einem Cache gehalten. Der anonyme Modus verspricht m.W., nichts zu cachen.
Es wäre dann interessant zu wissen, wie ich diese Cache leeren kann...
www.lucabert.de:XXXXX uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER
Rufe ich die selbe URL im "anonymen Modus" auf, kann ich die Seite benutzen... Hat jemand eine Erklärung? Und, viel wichtiger, eine "richtige" Lösung (naja, die Seite in anonym-Modus aufzurufen ist keine echte Lösung...)?
HSTS ausschalten für die Testphase. Oder ein echtes Zertifikat besorgen.
Ein echtes Zertifikat mit den Zertifikat für allen Nutzer, wäre mir einfach viel zu viel zu teuer. Ich würde sehr gern den HSTS für diesen VHost ausschalten, habe aber bisher nicht geschafft...
Ich nutze Apache 2.4.10. Kann jemand mir sagen, wie es geht? Alle Systeme, die ich mit Google gefunden habe, haben nicht funktioniert. Oder wenigstens, das Problem nicht gelöst...
Danke Luca Bertoncello (lucabert@lucabert.de)
On 12.03.2017 08:06, Luca Bertoncello wrote:
Heiko Schlittermann hs@schlittermann.de schrieb:
Moin,
Der HSTS Zustand wird in einem Cache gehalten. Der anonyme Modus verspricht m.W., nichts zu cachen.
Es wäre dann interessant zu wissen, wie ich diese Cache leeren kann...
Ich zitiere erstmal nur Wikipedia [1]:
Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen Gültigkeit folgendermaßen verhalten[5]:
<snip> Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann, z.B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer hat dann keine Möglichkeit mehr die Seite mit dem Browser aufzurufen. ---
Laut dem Anstrich ist es FAD, daß sich Dein Browser so verhält. Wenn Du es also schaffst, den Cash zu "leeren" hast Du einen Bug gefunden....oder einen komischen Hack, der per Default nicht gewollt ist. Soweit ich das verstehe ist Deine Kombination (HSTS & self-signed Certs) sehr ungesund.
H.
[1] https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Browser
Hilmar Preuße hille42@web.de schrieb:
Laut dem Anstrich ist es FAD, daß sich Dein Browser so verhält. Wenn Du es also schaffst, den Cash zu "leeren" hast Du einen Bug gefunden....oder einen komischen Hack, der per Default nicht gewollt ist. Soweit ich das verstehe ist Deine Kombination (HSTS & self-signed Certs) sehr ungesund.
Dann kannst du mir wenigstens erklären, warum der selbe Browser mit der selben Seite keinerlei Problem hat, wenn diese in "anonym-Modus" aufgerufen wird?
Ersatzfrage: ich würde sagen, dass wenn das Zertifikat nicht mehr "unbekannt" ist, sollte der Browser nicht mehr meckern. Wieso meckert dann der Browser immer noch, auch wenn die CA importiert worden ist?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (Mo 13 Mär 2017 07:21:33 CET):
Hilmar Preuße hille42@web.de schrieb:
Laut dem Anstrich ist es FAD, daß sich Dein Browser so verhält. Wenn Du es also schaffst, den Cash zu "leeren" hast Du einen Bug gefunden....oder einen komischen Hack, der per Default nicht gewollt ist. Soweit ich das verstehe ist Deine Kombination (HSTS & self-signed Certs) sehr ungesund.
Dann kannst du mir wenigstens erklären, warum der selbe Browser mit der selben Seite keinerlei Problem hat, wenn diese in "anonym-Modus" aufgerufen wird?
Hast Du meine Antwort gelesen?
Zitat von Heiko Schlittermann hs@schlittermann.de:
Dann kannst du mir wenigstens erklären, warum der selbe Browser mit der selben Seite keinerlei Problem hat, wenn diese in "anonym-Modus" aufgerufen wird?
Hast Du meine Antwort gelesen?
Ja, ich habe es...
Und bisher suche ich immer noch eine Möglichkeit HSTS auszuschalten, wenigstens für diese Domain...
Kann jemand mir dabei helfen?
Danke Luca Bertoncello (lucabert@lucabert.de)
Am Mon, 13 Mar 2017 07:21:33 +0100 schrieb Luca Bertoncello lucabert@lucabert.de:
Dann kannst du mir wenigstens erklären, warum der selbe Browser mit der selben Seite keinerlei Problem hat, wenn diese in "anonym-Modus" aufgerufen wird?
Weil er im anonym-Modus vorher die Webseite und deren HSTS-Header nicht gesehen hat - der Tab startet "frisch" ohne Zugrff zum Browsercache (lässt sich sonst zum Fingerprinting missbrauchen). Wenn du also erst deine "normale" Webseite aufrufst (per HTTPS), und anschließend im gleichen anonym-Tab die Webseite an deinem Sonderport, müsste das Verhalten das Gleiche sein wie ohne anonym-Modus. Warum sich dein Browser nicht darum scherrt, dass du die Cacert-CA deinem Browsertruststore hinzugefügt hast (das hast du doch, oder?), weiß ich nicht.
Der fragliche Header lautet übrigens "Strict-Transport-Security: max-age=31536000; includeSubDomains", d.h. selbst wenn du auf eine Subdomain umstellst, musst du den Header noch ändern. Da der Header nicht aus der Luft kommt, sondern vom Webserver, musst du da mal in die Konfiguration schauen. Wenn du irgendwo hosten lässt, schau da mal, ob du es einstellen kannst, oder schreibe dem Hoster nötigenfalls ein Ticket.
Statt cacert kannst du inzwischen übrigens auch Letsencrypt verwenden, das ist ohne Kopfstände in den Truststores enthalten - lästig kann dabei aber sein, dass die ausgestellten Zertifikate nur 90 Tage gelten.
Carsten
lug-dd@mailman.schlittermann.de
-
Carsten Weber -
Heiko Schlittermann -
Hilmar Preuße -
Luca Bertoncello -
Martin Schuchardt -
Uwe Koloska