Ich wollte 90, aber mit TLSv12 wirds Client- wie Server-seitig ziemlich blutig und dann bevorzuge ich doch die "stable"-Variante und setze mich mit einer 1-

Makki

Willkommen im Club der "85"

Seit gestern sollte alles wieder grün sein, ich hoffe damit keine alten Browser auszusperren

Makki

Othmar, ich stimme dir in allen Punkten zu! (und danke für Tipp mit ssllabs, ist wirklich hilfreich)

Ich hab gestern erstmal das komplette ca-bundle reingeblasen, damit das Problem weg ist; so richtig nachvollziehen (und verstehen) konnte ich es erst danach..

Das war vorher selektiv, nur dummerweise mit dem abgelaufenen intermediate (das hat nie jemand angeschaut, warum das erst jetzt auffiel=?) aber das Gefühl hat mich wenigstens nicht getäuscht, das es da ein zu behebendes Problem gibt.. (Schäm und gleichzeitig auf-die-Schulter-klopf)

Wird noch optimiert, da aber mehrere Sites betroffen waren, musste erstmal eine schnelle Lösung her..

Ich bau jetzt erstmal nen Nagios-Check dafür um (das Ablaufdatum von RootCA & Cert wurde durchaus auch bisher schon geprüft! hilft aber nix, wenn der client das "richtige" Intermediate schon hat..)

Der Rest ist pending Webserver-Update, das ist schon länger bekannt aber wie bereits gesagt IMHO nicht so dramatisch - und eben schwierig, weil in erster Linie muss der Shop laufen, dann kommt das feintuning..

Makki, der sich wirklich schämt..

Nette Seite, kannte ich noch gar nicht.
Und ja, da scheint tatsächlich etwas Arbeit notwendig zu sein.

Hallo Makki, kann dir nicht in allen Punkten zustimmen:

1) ich bin der Meinung, dass benötigte Intermediate Certifikates grundsätzlich zusammen mit dem Server Zertifikat vom Webserver ausgeliefert werden müssen. Wenn ich mich nicht komplett täusche, wird im Serverzertifikat die Referenz auf das signierende Zertifikat angeben. Insofern ist es dann überhaupt nicht egal, mit welchem Intermediate Certificate die Chain gebildet wird. Das bedeutet dann natürlich, dass man nicht nur das Server Zertifikat erneuert, sondern auch das Intermediate CA Zertifikat in der Konfig nachzieht.

2) Im Client sollte es eigentlich nur nötig sein, Zertifikate von Root CAs zu installieren. Weil aber nicht alle Administratoren ihre Webserver korrekt konfigurieren, werden als Workaround halt häufig auch Intermediate CA Certificates installiert.

3) Zur Kontrolle der Zertifikatskonfiguration seines Webservers kann ich die Site https://www.ssllabs.com/ssltest/ sehr empfehlen.
Wenn man will, kann man Tests natürlich auch mit "openssl s_client" oder mit "curl -vk" durchführen.
Jedenfalls sieht man mit allen Varianten, dass dein Webserver nicht nur 2 Zertifikate sondern gleich 19 mitschickt, was ziemlich überflüssig ist. Das würde ich noch korrigieren. Zudem entspricht die Liste der Ciphers auch nicht gerade dem empfohlenen Stand.

Gruss, Othmar

Hallo Makki,

Ich glaub, ich bekam im chrome unter Android das abgelaufene intermediate Zertifikat angezeigt. Das root Zertifikat sieht man in der Ansicht wohl gar nicht.
Allzu seht bekümmert war ich aber deshalb nicht, eben weil ihr nix speichert.

Aber du hast doch auch ein nexus 7. Damit müsstest Du es nachspielen können.
Was ich nicht verstehe: was hat das mit IE zu tun??

Gruß

Christoph

Nicht so schlimm, ist ja auch mein Job, nicht Deiner..
Also es ging ohne Fehlermeldung und ohne eine Ausnahme (im FF unter Einstellungen, Erweitert, Verschlüsselung)? Dann wärs gut..
Da müssten jetzt (bei betroffenen!) zwei "StartCom Class 2 Primary Intermediate Server CA" stehen, eine mit ablaufdatum 22-10-2012 und eine mit 2017, dann ist alles wieder gut..

Kann sein, der ist (wegen dem Shop) etwas betagt, was genau sagt er, Sicherheitsrelevanten Meldungen will ich gerne nachgehen!

Makki

P.S.: bevor jetzt jemand damit anfängt: der Shop läuft auf einem Debian etch/4.0 - ja, mit bestem gewissen! - also dem Vorgänger vom WG..
"Stable" (im zweifelsfall OLD) ist bei öffentlichen Systemen aber kein Nachteil sondern meist ein Vorteil..
Die einzig relevante Sache, openssl, wurde gleichzeitig mit dem WG - ungefragt - aktualisiert, auch dort.. Die Keys für die Zertifikate wurden auf einem anderen System mit HW-RNG erstelt (die Debian-Jungs hatten da mal mist gebaut..) und so..

Der Chrome von greentux grummelt vermutlich wirklich wegen der TLS-renegotiaon, das ist richtig aber kein Drama weil wir im Shop grundsätzlich keinerlei sensitive Daten abfragen o.ä. (Kreditkarten, Konto, ..) und schon gleich garnicht speichern, weil wir diese - ganz bewusst! - garnicht wissen wollen (was man nicht weiss, kann man auch nicht verlieren )
Also ein MITM kann maximal Vorname, Nachnahme, Adresse und bestellte Artikelnummen abgreifen
Der Rest ist das Problem von Paypal, Bank usw, nicht meins

Wird - aus anderen Gründen und schon lange geplant - aber eh die Tage upgedatet, womit sich das auch erledigt haben sollte..

Woran lags?
Mein Chrome warnte nur, das die verwendete Server Software etwas älteren Kaliber wäre, was aber auch nicht näher erläutert wurde.
Ich tippe irgendwo in Richtung SSLRenegotation??

Hallo,

und Danke für die Mühe. Ich konnte Deinen Ausführungen leider nicht vollständig folgen, da ich eigentlich überhaupt keine Ahnung habe. Ich kann aber berichten, dass ich nun ohne Probleme bestellen konnte. Super, danke!

Gruß Mirko

Ok, es sollte auch ohne lokalen Eingriff jetzt gehen, ich werd dann mal ne handvoll andere Seiten updaten gehen

Makki

@greentux: so ists auch richtig, die gretchenfrage ist wie/warum manche zu dem abgelaufenen kamen..
Ich mach da grad ne Testreihe grmpf..

Makki

Hab das mal in nen neuen Thread verschoben..

Das alte intermediate/Class2 (das "mittlere") war indeed - nach 5 Jahren - 2012-10-22 abgelaufen. nur sollte jeder der nach 2007 updates bezogen hat das aktuelle wie im Post #6 haben glaube ich - was auch essentiell wichtig ist !! weil alleine m.W. zwei RootCA's seither so richtig durch-gehacked wurden !!

Am Server kann ich daran glaube ich rein garnichts ändern - dachte ich bis gerade eben!

Ich hör das aber nicht das erste mal, also hab ich weiter gesucht:
unser Server lieferte das (alte!) in der Certificate-chain aus - allerdings nur wenns der Client nicht hat (was er haben sollte IMHO)
AFAIR war das ein Workaround fürn IE6 oder 7, da hat natürlich in den letzten 4J keiner mehr draufgeschaut..

Sachdienliche Hinweise, wie das zustandekommen kann, werden gerne angenommen

Fazit:
Nicht ganz unschuldig aber unwissentlich und sehr strange..
-> Trotzdem würde ich betroffenen empfehlen, DRINGEND einen sehr scharfen Blick aufs System zu werfen, weil irgendwas stimmt da nicht..
-> UND: es wäre sehr gut, wenn jemand betroffener das testen könnte (ich kanns nirgends nachvollziehen):
- keine "Ausnahmen"
- Intermediate-CA lokal entfernen (nur die!)
(evtl. gehts sogar ohne diesen Schritt?)
- auf https://shop.wiregate.de gehen, sollte keine Meldung mehr kommen

Makki

Bei mir steht drin, das das Starcom bis 2017 läuft, also noch ausreichend Zeit...

Sicher? Weil eigentlich zeigt es (auf unserem PC) an, dass das Root-Zertifikat am Sep 17 19:46:36 2036 GMT abläuft (das Intermediate eher).

Außerdem würde uns Startcom doch kein Zertifikat ausstellen, das länger läuft als deren root?

Wir sehen uns das aber auf jeden Fall genau an.

Danke für die Meldung

lg

Stefan