SSL Zertifikat auf einmal ungültig

Lord_Icon

Lord_Icon

Member
Moinz,

ich hab n recht komisches Problem an der Backe.
Ein noch gültiges Zertifikat (noch bis zum 16.04) ist ausschließlich im aktuellen FF (36.0) ungültig.

Code: 
<DOMAIN> verwendet ein ungültiges Sicherheitszertifikat. 
Dem Zertifikat wird nicht vertraut, weil keine 
Zertifikatsausstellerkette angegeben wurde. (Fehlercode: sec_error_unknown_issuer)

ALLE anderen Browser (IE,Opera,Chrome etc.)... selbst die auf Handy und Pad's zeigen keinerlei Probleme.
Verwende ich FF in einer älteren Version, gibt es auch keine Probleme.

Eine Google Suche nach dem Problem bingt leider keine erfolge (z.b. die zert.Datei im Firefox-Profil löschen, da diese ggf. defekt sein).

Kann es sein, dass das Zertifikat bedingt durch die 5 Jahre Laufzeit irgendwas Sicherheitstechnisches fehlt? Sprich: FF in der Version 36.0 nun was erwartet, was es vor 5 Jahren noch nicht gab oder vorgesehen war ?

Betroffene URL: http://goo.gl/4i7YMB

Danke für Tipps
 
openssl meint:

Code: 
Certificate chain
 0 s:/O=www.sportnahrung-kwax.de/OU=Go to [url]https://www.thawte.com/repository/index.html/OU=Thawte[/url] SSL123 certificate/OU=Domain Validated/CN=www.sportnahrung-kwax.de
   i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com
 1 s:/C=US/O=Thawte, Inc./OU=Domain Validated SSL/CN=Thawte DV SSL CA
   i:/C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA

depth=1 C = ZA, ST = Western Cape, L = Cape Town, O = Thawte Consulting cc, OU = Certification Services Division, CN = Thawte Server CA, emailAddress = [email]server-certs@thawte.com[/email]
verify return:1
depth=0 O = [url]www.sportnahrung-kwax.de[/url], OU = Go to [url]https://www.thawte.com/repository/index.html[/url], OU = Thawte SSL123 certificate, OU = Domain Validated, CN = [url]www.sportnahrung-kwax.de[/url]
verify return:1
notBefore=Feb 15 00:00:00 2010 GMT
notAfter=Apr 15 23:59:59 2015 GMT

Aber Firefox 26 hat das Root-Zertifikat von Thawte nicht mehr drin.
 
Last edited by a moderator:
DANKE.

Also doch das alter des Zertifikates. Dann werd ich dem Kunden mal empfehlen den Neukauf des SSL-Zertifikates vorzuziehen.
 
ja. Hab ich auch schon getan.
Gravierendes fällt mir grad nur auf, das nur TLS 1.0 unterstützt wird und SSL 2 noch nicht den letten Sicherheitspatch drin hat.

Hier muß wohl dringend mal n update gefahren werden.

Aber sehr interessant diese Seite. Hab ich mir gleich mal gebookmarkt.
Is aber leider so umfangreich, dass ich mich in einigen Stellen selbst erst einlesen muß, was mir die angezeigte Fehlermeldung sagen will.

Hab dank für den Link
 
SSL 2 hat noch nicht den letzten Sicherheitspatch?

SSL 2 und 3 kann direkt deaktiviert werden. Genauso wie Cipher mit RC4. Das TLS 1.2 nicht unterstützt wird ist auch komisch. Uralte Version von OpenSSL?
 
Code: 
This server supports anonymous (insecure) suites (see below for details). Grade set to F.

Also das nervt.

in der: /etc/apache2/mods-enabled/ssl.conf
hab ich nun:
Code: 
SSLCipherSuite 'EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA:EECDH:EDH+AESGCM:EDH:+3DES:ECDH+AESGCM:ECDH+AES:ECDH:AES:HIGH:MEDIUM:!RC4:!CAMELLIA:!SEED:!MD5:!eNULL:!LOW:!EXP:!DSS:!PSK:!SRP'
SSLHonorCipherOrder on

Laut doku ohne !aNULL was das anonymous suites deaktivieren soll.
Muß wohl noch andere Ursachen haben (?)
 
Hier ist meine, damit gibt's A+

Beachte das damit eine menge alter Endgeräte (z.B. Smartphones) rausgeschmissen werden. Also bitte sehen und verstehen, nicht blind benutzen.

Code: 
<IfModule mod_ssl.c>
	SSLProtocol  all -SSLv2 -SSLv3 -TLSv1.1
	SSLHonorCipherOrder on
	SSLCipherSuite "DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-SHA:DES-CBC3-SHA"
	#SSLUseStapling        On
	#SSLStaplingCache      "shmcb:${APACHE_RUN_DIR}/stapling_cache(128000)"
	<IfModule mod_headers.c>
		Header always set Strict-Transport-Security "max-age=31556926"
	</IfModule>
</IfModule>
 
Last edited by a moderator:
GwenDragon said:
Mozilla hat bei Firefox hat das Thawte Server CA wegen zu kurzer Schlüssel rausgeworfen.
Click to expand...

Das ist dein Key-Exchange Problem Dein Ca hat nur einen 1024Bit Schlüssel, das bekommst Du auch nicht gefixt.

Da das Zertifikat ja sowieso im April ausläuft wurde ich mich mal nach einem anderen Anbieter umschauen.
 
MadMakz said:
Code: 
<IfModule mod_ssl.c>
	SSLProtocol  all -SSLv2 -SSLv3 -TLSv1.1
	SSLHonorCipherOrder on
	SSLCipherSuite "DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA:AES128-SHA:DES-CBC3-SHA"
	#SSLUseStapling        On
	#SSLStaplingCache      "shmcb:${APACHE_RUN_DIR}/stapling_cache(128000)"
	<IfModule mod_headers.c>
		Header always set Strict-Transport-Security "max-age=31556926"
	</IfModule>
</IfModule>
Click to expand...

Eingetragen... apache neu gestartet und neu bewerten lassen. Immer noch F
Ist diese bewertung in Abhängigkeit mit dem Zert. ?


Edit: Montag werde ich dann n neues Zert. für den Kunden erstellen lassen
 
U.a. ja, aber kein F

Nebenbei bekomme ich auch ein
Code: 
sec_error_unknown_issuer
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top