StartSSL Cert Free - Firefox OCSP-Server Error

Dieses Thema im Forum "Smalltalk" wurde erstellt von F4RR3LL, 23. Nov. 2014.

  1. F4RR3LL

    F4RR3LL Member

    Servus Freunde der leichten Unterhaltung,

    falls auch wer in das selbige Problem wie ich rennt, hier ne kleine Info.
    Ich hab heute meine StartSSL Certs ihrem jährlichen update unterzogen. Danach wie immer auf allen Browsern getestet.
    Und im Firefox bekam ich dann den folgenden Fehler angezeigt.
    Code:
    Fehler: Gesicherte Verbindung fehlgeschlagen
    
    Ein Fehler ist während einer Verbindung mit wiki.nixhelp.de aufgetreten. Der OCSP-Server hat keinen Status für das Zertifikat. (Fehlercode: sec_error_ocsp_unknown_cert)
    
        Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
        Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
    
    Nachdem ich dann erstmal alles x fach überprüft hab und keinen Fehler entdecken konnte bin ich im Netz auf die Suche gegangen.
    Ich habe folgenden Beitrag gefunden: https://forum.startcom.org/viewtopic.php?f=15&t=2654

    Kurzer Auszug:
    "New requirements placed upon certificate authorities forced us to implement a new OCSP responder and related infrastructure. One of the drawbacks is that newly generated certificates are not yet known to the responder and if the site is accessed before that a cached response about an unknown certificate remains. We are looking into reducing that time, which however might have an effect on performance which is also very important to us.
    Current performance of the StartCom OCSP responders are very good and we'll like to keep it this way: https://revocation-report.x509labs.com
    Unfortunately it will affect new installations."

    Das heißt für mich in Zukunft, Cert verlängern oder erstellen und erst einen Tag später auf dem Server einspielen.


    Gruß Sven

    //Edit: Das betrifft nicht nur Class 1 Certs sondern auch alle anderen bei StartSSL
     
    Zuletzt bearbeitet: 23. Nov. 2014
    nowayback und Till gefällt das.
  2. nowayback

    nowayback Well-Known Member

    Ich schmeiss mal https://letsencrypt.org/ in den Raum. Damit "soll" ab Sommer 2015 der ganze Krempel wie Neuausstellung und Co. sich erledigt haben.
    Wenn ich mir anschau, wer da mit an Bord ist, geb ich dem Projekt sogar gute Chancen. Die Demos laufen zumindest in unseren Testumgebungen schon so wie sie sollen - soweit ich informiert bin.
    Achja und gratis soll es auch noch sein/werden ;-)
     
  3. F4RR3LL

    F4RR3LL Member

    Das klingt ja fast zu einfach ;) Aber wäre doch mal was, das wirklich Sinn macht. Beim ersten drüberlesen klingt das echt gut.

    Gruß Sven
     
  4. Till

    Till Administrator

    Das hört sich ja echt gut an. Hast Du es selbst auch schon getestet? Wenn ja, wo legt der die Zertifikate ab und baut er das selbst in den vhost ein, zumindest hört es sich ja so an auf der Webseite. dann müsste ich mir ja was überlegen wie ispconfig das feststellt damit da nicht überschrieben wird.
     
  5. nowayback

    nowayback Well-Known Member

    Wir haben es intern getestet, aber nicht ich persönlich.

    das muss ich heute abend mal nachfragen.

    Ja, aber zur Zeit nur im Apache. Nginx wird aber auch jeden Fall auch noch umgesetzt und soll funktionieren bis zum Launch.
     
  6. Till

    Till Administrator

    Ich hoffe mal dass das irgendwie konfigurierbar ist, dass es das cert besorgt ist ja nett, aber den vhost sollte es besser in Ruhe lassen und ich hoffe mal dass man auch den Platz irgendwo angeben kann, wo die certs des webs abgelegt werden. Ich hab es mal als feature request in den Bugtracker gesetzt, muss ich mir mal ansehen was man da so mit machen kann. Alles in allem auf jeden Fall eine positive Entwicklung.
     
  7. F4RR3LL

    F4RR3LL Member

    Wie schauts mit der Aktzeptanz in den Browsern aus... mit Serverumzügen etc... ich seh schon... da hab ich noch bissl was zu lesen.
    Bzgl vhost rumfummeln, jau das wärs noch... wobei ich vermute, dass derzeit die Logik einfach nach namensgleichheit bei sites-available sucht, alles andere ergibt keinen Sinn.
    Nunja mal schaun.

    Gruß Sven
     
  8. nowayback

    nowayback Well-Known Member

    Momentan beim Apache werden die Keys abgelegt unter /etc/apache2/ssl/ und die Zertifikate unter /etc/apache2/certs/
    Vor dem Ändern der Vhosts werden Backups angelegt, die man über das Tool auch wiederherstellen kann/können soll. Außerdem werden Backups der Keys und Zertifikate angelegt unter /var/lib/letsencrypt/keys-certs/
     
  9. nowayback

    nowayback Well-Known Member

  10. nowayback

    nowayback Well-Known Member

    F4RR3LL gefällt das.
  11. ramsys

    ramsys Member

    Hört sich interessant an, aber Sommer 2015 scheint mir sehr engagiert zu sein...
     
  12. F4RR3LL

    F4RR3LL Member

    Warten wirs einfach ab...... bin da verhalten optimistisch... ;)
     
  13. ramsys

    ramsys Member

  14. phone2marcos

    phone2marcos New Member

    Das klingt ja fast zu einfach ;) Aber wäre doch mal was, das wirklich Sinn macht. Beim ersten drüberlesen klingt das echt gut.
     

Diese Seite empfehlen