Nicht so schlimm, ist ja auch mein Job, nicht Deiner..
Also es ging ohne Fehlermeldung und ohne eine Ausnahme (im FF unter Einstellungen, Erweitert, Verschlüsselung)? Dann wärs gut..
Da müssten jetzt (bei betroffenen!) zwei "StartCom Class 2 Primary Intermediate Server CA" stehen, eine mit ablaufdatum 22-10-2012 und eine mit 2017, dann ist alles wieder gut..

Kann sein, der ist (wegen dem Shop) etwas betagt, was genau sagt er, Sicherheitsrelevanten Meldungen will ich gerne nachgehen!

Makki

P.S.: bevor jetzt jemand damit anfängt: der Shop läuft auf einem Debian etch/4.0 - ja, mit bestem gewissen! - also dem Vorgänger vom WG..
"Stable" (im zweifelsfall OLD) ist bei öffentlichen Systemen aber kein Nachteil sondern meist ein Vorteil..
Die einzig relevante Sache, openssl, wurde gleichzeitig mit dem WG - ungefragt - aktualisiert, auch dort.. Die Keys für die Zertifikate wurden auf einem anderen System mit HW-RNG erstelt (die Debian-Jungs hatten da mal mist gebaut..) und so..

Der Chrome von greentux grummelt vermutlich wirklich wegen der TLS-renegotiaon, das ist richtig aber kein Drama weil wir im Shop grundsätzlich keinerlei sensitive Daten abfragen o.ä. (Kreditkarten, Konto, ..) und schon gleich garnicht speichern, weil wir diese - ganz bewusst! - garnicht wissen wollen (was man nicht weiss, kann man auch nicht verlieren )
Also ein MITM kann maximal Vorname, Nachnahme, Adresse und bestellte Artikelnummen abgreifen
Der Rest ist das Problem von Paypal, Bank usw, nicht meins

Wird - aus anderen Gründen und schon lange geplant - aber eh die Tage upgedatet, womit sich das auch erledigt haben sollte..

Hallo Makki,

Ich glaub, ich bekam im chrome unter Android das abgelaufene intermediate Zertifikat angezeigt. Das root Zertifikat sieht man in der Ansicht wohl gar nicht.
Allzu seht bekümmert war ich aber deshalb nicht, eben weil ihr nix speichert.

Aber du hast doch auch ein nexus 7. Damit müsstest Du es nachspielen können.
Was ich nicht verstehe: was hat das mit IE zu tun??

Gruß

Christoph

Hallo Makki, kann dir nicht in allen Punkten zustimmen:

1) ich bin der Meinung, dass benötigte Intermediate Certifikates grundsätzlich zusammen mit dem Server Zertifikat vom Webserver ausgeliefert werden müssen. Wenn ich mich nicht komplett täusche, wird im Serverzertifikat die Referenz auf das signierende Zertifikat angeben. Insofern ist es dann überhaupt nicht egal, mit welchem Intermediate Certificate die Chain gebildet wird. Das bedeutet dann natürlich, dass man nicht nur das Server Zertifikat erneuert, sondern auch das Intermediate CA Zertifikat in der Konfig nachzieht.

2) Im Client sollte es eigentlich nur nötig sein, Zertifikate von Root CAs zu installieren. Weil aber nicht alle Administratoren ihre Webserver korrekt konfigurieren, werden als Workaround halt häufig auch Intermediate CA Certificates installiert.

3) Zur Kontrolle der Zertifikatskonfiguration seines Webservers kann ich die Site https://www.ssllabs.com/ssltest/ sehr empfehlen.
Wenn man will, kann man Tests natürlich auch mit "openssl s_client" oder mit "curl -vk" durchführen.
Jedenfalls sieht man mit allen Varianten, dass dein Webserver nicht nur 2 Zertifikate sondern gleich 19 mitschickt, was ziemlich überflüssig ist. Das würde ich noch korrigieren. Zudem entspricht die Liste der Ciphers auch nicht gerade dem empfohlenen Stand.

Gruss, Othmar

Nette Seite, kannte ich noch gar nicht.
Und ja, da scheint tatsächlich etwas Arbeit notwendig zu sein.

Othmar, ich stimme dir in allen Punkten zu! (und danke für Tipp mit ssllabs, ist wirklich hilfreich)

Ich hab gestern erstmal das komplette ca-bundle reingeblasen, damit das Problem weg ist; so richtig nachvollziehen (und verstehen) konnte ich es erst danach..

Das war vorher selektiv, nur dummerweise mit dem abgelaufenen intermediate (das hat nie jemand angeschaut, warum das erst jetzt auffiel=?) aber das Gefühl hat mich wenigstens nicht getäuscht, das es da ein zu behebendes Problem gibt.. (Schäm und gleichzeitig auf-die-Schulter-klopf)

Wird noch optimiert, da aber mehrere Sites betroffen waren, musste erstmal eine schnelle Lösung her..

Ich bau jetzt erstmal nen Nagios-Check dafür um (das Ablaufdatum von RootCA & Cert wurde durchaus auch bisher schon geprüft! hilft aber nix, wenn der client das "richtige" Intermediate schon hat..)

Der Rest ist pending Webserver-Update, das ist schon länger bekannt aber wie bereits gesagt IMHO nicht so dramatisch - und eben schwierig, weil in erster Linie muss der Shop laufen, dann kommt das feintuning..

Makki, der sich wirklich schämt..

Seit gestern sollte alles wieder grün sein, ich hoffe damit keine alten Browser auszusperren

Makki

Willkommen im Club der "85"

Ich wollte 90, aber mit TLSv12 wirds Client- wie Server-seitig ziemlich blutig und dann bevorzuge ich doch die "stable"-Variante und setze mich mit einer 1-

Makki