StartSSL Cert Free - Firefox OCSP-Server Error

F4RR3LL

Active Member
Servus Freunde der leichten Unterhaltung,

falls auch wer in das selbige Problem wie ich rennt, hier ne kleine Info.
Ich hab heute meine StartSSL Certs ihrem jährlichen update unterzogen. Danach wie immer auf allen Browsern getestet.
Und im Firefox bekam ich dann den folgenden Fehler angezeigt.
Code:
Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit wiki.nixhelp.de aufgetreten. Der OCSP-Server hat keinen Status für das Zertifikat. (Fehlercode: sec_error_ocsp_unknown_cert)

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Nachdem ich dann erstmal alles x fach überprüft hab und keinen Fehler entdecken konnte bin ich im Netz auf die Suche gegangen.
Ich habe folgenden Beitrag gefunden: https://forum.startcom.org/viewtopic.php?f=15&t=2654

Kurzer Auszug:
"New requirements placed upon certificate authorities forced us to implement a new OCSP responder and related infrastructure. One of the drawbacks is that newly generated certificates are not yet known to the responder and if the site is accessed before that a cached response about an unknown certificate remains. We are looking into reducing that time, which however might have an effect on performance which is also very important to us.
Current performance of the StartCom OCSP responders are very good and we'll like to keep it this way: https://revocation-report.x509labs.com
Unfortunately it will affect new installations."

Das heißt für mich in Zukunft, Cert verlängern oder erstellen und erst einen Tag später auf dem Server einspielen.


Gruß Sven

//Edit: Das betrifft nicht nur Class 1 Certs sondern auch alle anderen bei StartSSL
 
Zuletzt bearbeitet:

nowayback

Well-Known Member
Ich schmeiss mal https://letsencrypt.org/ in den Raum. Damit "soll" ab Sommer 2015 der ganze Krempel wie Neuausstellung und Co. sich erledigt haben.
Wenn ich mir anschau, wer da mit an Bord ist, geb ich dem Projekt sogar gute Chancen. Die Demos laufen zumindest in unseren Testumgebungen schon so wie sie sollen - soweit ich informiert bin.
Achja und gratis soll es auch noch sein/werden ;-)
 

F4RR3LL

Active Member
Das klingt ja fast zu einfach ;) Aber wäre doch mal was, das wirklich Sinn macht. Beim ersten drüberlesen klingt das echt gut.

Gruß Sven
 

Till

Administrator
Ich schmeiss mal https://letsencrypt.org/ in den Raum. Damit "soll" ab Sommer 2015 der ganze Krempel wie Neuausstellung und Co. sich erledigt haben.
Wenn ich mir anschau, wer da mit an Bord ist, geb ich dem Projekt sogar gute Chancen. Die Demos laufen zumindest in unseren Testumgebungen schon so wie sie sollen - soweit ich informiert bin.
Achja und gratis soll es auch noch sein/werden ;-)

Das hört sich ja echt gut an. Hast Du es selbst auch schon getestet? Wenn ja, wo legt der die Zertifikate ab und baut er das selbst in den vhost ein, zumindest hört es sich ja so an auf der Webseite. dann müsste ich mir ja was überlegen wie ispconfig das feststellt damit da nicht überschrieben wird.
 

nowayback

Well-Known Member
Wir haben es intern getestet, aber nicht ich persönlich.

das muss ich heute abend mal nachfragen.

Ja, aber zur Zeit nur im Apache. Nginx wird aber auch jeden Fall auch noch umgesetzt und soll funktionieren bis zum Launch.
 

Till

Administrator
Ja, aber zur Zeit nur im Apache. Nginx wird aber auch jeden Fall auch noch umgesetzt und soll funktionieren bis zum Launch.

Ich hoffe mal dass das irgendwie konfigurierbar ist, dass es das cert besorgt ist ja nett, aber den vhost sollte es besser in Ruhe lassen und ich hoffe mal dass man auch den Platz irgendwo angeben kann, wo die certs des webs abgelegt werden. Ich hab es mal als feature request in den Bugtracker gesetzt, muss ich mir mal ansehen was man da so mit machen kann. Alles in allem auf jeden Fall eine positive Entwicklung.
 

F4RR3LL

Active Member
Wie schauts mit der Aktzeptanz in den Browsern aus... mit Serverumzügen etc... ich seh schon... da hab ich noch bissl was zu lesen.
Bzgl vhost rumfummeln, jau das wärs noch... wobei ich vermute, dass derzeit die Logik einfach nach namensgleichheit bei sites-available sucht, alles andere ergibt keinen Sinn.
Nunja mal schaun.

Gruß Sven
 

nowayback

Well-Known Member
Momentan beim Apache werden die Keys abgelegt unter /etc/apache2/ssl/ und die Zertifikate unter /etc/apache2/certs/
Vor dem Ändern der Vhosts werden Backups angelegt, die man über das Tool auch wiederherstellen kann/können soll. Außerdem werden Backups der Keys und Zertifikate angelegt unter /var/lib/letsencrypt/keys-certs/
 

Werbung

Top