Falsches SSL/TLS-Zertifikat - CloudFlare Certificate

Mutti

Member
Hallo,

mich plagt gerade ein neues Problem wegen eines Zerfikatsproblem, das seit kurzem auftritt.

Ich nutze Zertifikat von Letsencrypt. Bei Aufruf der Domain wird angegeben das die Seite ein Sicherheitsproblem hat.
Einen Überprüfung ergibt dann das ein Zertifikat von "CloudFlare" genutzt wird.

CloudFlare Origin Certificate
Beginn 11.12.2020, 20:06:00 (Mitteleuropäische Normalzeit)
Ende 8.12.2035, 20:06:00 (Mitteleuropäische Normalzeit)

Den CAA Eintrag "letsencrypt.org" habe ich testweise deaktiviert.

Für Hilfe, vielen Dank voraus.
 

Mutti

Member
Ok, das ganze ist nach dem letzten "Wordpress Update" aufgetaucht. Da ist wohl ein Zusammenhang.
Ich mache mich mal auf die Suche.
 

Mutti

Member
Das Problem war wohl, das die Verbindung zur IP gestört war. So die Auskunft vom Webhoster.

Dort dachte man auch zuerst das ich CLoudflare nutzen würde.
Ich solle meine DNS-Zone exportieren damit auf Vollständigkeit und Korrektheit geprüft werden kann.
Dann sollte ich den Cloudflare Proxy für die Domain komplett aktivieren.

Ich hab dann mitgeteilt das ich "CLoudflare nicht benutze". Dann gab es recht schnell eine Nachricht, das wohl ein Problem vorliegt und das dies geprüft werde. Ich wurde dann am Nachmittag informiert "Jemand hat (bewusst oder unbewusst) die Kommunikation mit dieser IP-Adresse gestört" und dass das Problem beseitigt werden konnte.

Wie und was die Störung verursacht hat und wie das Problem gelöst wurde, kann ich leider nicht sagen.
Ich bin auf jeden Fall froh das alles wieder läuft.
 

cosimo.de

Blog Benutzer
Auch Cloudflare wird es nicht schaffen 15Jahre gültige Zertifikate auszustellen. Ein Man in the Middle Angriff ist imho hier nicht auszuschließen.

CloudFlare Origin Certificate
Beginn 11.12.2020, 20:06:00 (Mitteleuropäische Normalzeit)
Ende 8.12.2035, 20:06:00 (Mitteleuropäische Normalzeit)
 

d4f

Kaffee? Wo?
Auch Cloudflare wird es nicht schaffen 15Jahre gültige Zertifikate auszustellen.
Doch, wieso auch nicht? Du kannst bei Erstellung deinem Zertifikat eine Lebensdauer bis Jahr 3000 oder später geben...
Man muss wissen was Origin Certificates sind - und dann sieht man auch was der Webhoster verbockt hat.

Das sind technische Zertifikate einer internen (nicht-vertrauten) CA von Cloudflare welche man auf den Webservern installiert damit die Verbindung Cloudflare -> Webserver gesichert ist. In diesem kontakt ist eine lange Lebenserwartung der Zertifikate kein grösseres Problem da die eigentliche Validierung, Revocation und Austausch über ganz andere Prozeduren läuft als üblich.

Sprich: die Zertifikate sind gar nicht zum Client-Kontakt gedacht. Der Webhoster hat sich kräftig beim Installieren von Cloudflare vertan, ich würde an diesem Punkt die Wahl des Hosters überdenken zumal die Antwort auf dein konkretes Problem zumindest absoluter Schmarrn ist wenn nicht gar dreist gelogen ist.
 

cosimo.de

Blog Benutzer
Das sind technische Zertifikate einer internen (nicht-vertrauten) CA von Cloudflare welche man auf den Webservern installiert damit die Verbindung Cloudflare -> Webserver gesichert ist. In diesem kontakt ist eine lange Lebenserwartung der Zertifikate kein grösseres Problem da die eigentliche Validierung, Revocation und Austausch über ganz andere Prozeduren läuft als üblich.
Ahh, ok. Danke für die Klarstellung.
 

Tecki_Mandy

New Member
OK, danke für die Lösung. Hatte nämlich heute ein ähnliches Problem durch das Update entstanden. Vielen Dank für das Erklären!
 
Top