FSI-Server: Neues SSL-Zertifikat

system · 3. April 2012 um 09:12

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

Mullet · 3. April 2012 um 09:12

FSI-Server: Neues SSL-Zertifikat
Leider haben wir erst jetzt bemerkt, dass unser altes Zertifikat vor zwei Tagen abgelaufen ist, aber besser spaet als nie:

t.animal · 3. April 2012 um 19:27

Ok ich hab das jetzt ausgedruckt, aber wie krieg ichs jetzt in meinen Rechner rein?

F11 · 3. April 2012 um 19:34

einscannen!

Mini_Me · 3. April 2012 um 22:20

Ich dachte auf nen Holztisch legen und abfotografieren wäre die übliche Vorgehensweise…

Airhardt · 3. April 2012 um 22:34

Vorsicht!
Ich habe ernsthafte Zweifel an der Echtheit dieses Zertifikats. Da fehlt doch eindeutig ein gültiger Hash-Fingerprint! So müsste der in etwa aussehen:

anon · 4. April 2012 um 11:21

Anonymous delivers.

CFP · 23. Juli 2014 um 10:05

Neue Einstellungen? MAC jetzt SHA-256 statt SHA-1. Sehr schön.

arw · 23. Juli 2014 um 10:12

Die DFN-CA kann inzwischen SHA-2?

CFP · 23. Juli 2014 um 11:23

Mir ist nur aufgefallen, dass das eine Add-On im Browser bei mir das Forum nun höher einstuft (wg. der Veränderung in der Rubrik „MAC“)

Attachment:
fsi-firefox.png: https://fsi.cs.fau.de/unb-attachments/post_133687/fsi-firefox.png

arw · 23. Juli 2014 um 12:00

Ah, das ist nicht der Hash fuer die Signatur vom Zertifikat sondern die Ciphersuite fuer die Verbindung. Das kommt vermutlich daher, dass der neue Debian-Apache die jetzt auch kann.

CFP · 23. Juli 2014 um 12:06

Genau.

Aber ja; es wäre eigentlich mal an der Zeit, dass die Zertifikatssignatur auch mit SHA-2 erfolgt – die meisten großen CAs können das inzwischen …

Ah, ok.

neverpanic · 23. Juli 2014 um 16:43

Gibts jetzt auch mal ordentliche Ciphersuites in Debian stale? Dann könnte ich ja mal wieder ein Downgrade machen.
Seit wann ist das so? Welche Version von Apache ist denn gerade in Debian stable?

arw · 23. Juli 2014 um 16:56

https://www.debian.org/News/2014/20140712
apache2 (2.2.22-13+deb7u2) wheezy; urgency=medium

Backport support for SSL ECC keys and ECDH ciphers.

Bump build-dependency for libssl-dev to 1.0.1e-2+deb7u8 to get the
compatibility fix for older Safari browsers. Apache2 will still
run with older libssl-1.0.0 but without the compatibility fix.

In case of problems, see README.Debian.

neverpanic · 23. Juli 2014 um 22:30

Ah, sehr gut. Hat ja auch lange genug gedauert…

Jetzt bräuchte der Apache in Debian nur noch OCSP-Stapling (auch wenn das Feature gar nicht mal so nütlich ist, bitte keine Belehrung deswegen, das ist mir bekannt).

Ford_Prefect · 24. Juli 2014 um 14:25

Woah, das merk ich mir!

arw · 24. Juli 2014 um 17:12

Immerhin hat man die Wahl zwischen Debian stale, rusting und broken. Anders als bei Arschlinux… duck&renn

CFP · 13. Oktober 2014 um 11:22

Inzwischen ist für die Zertifikate übrigens SHA-256 möglich

PoempelFox · 18. Oktober 2014 um 14:55

Und ab demnaechst auch dringend empfehlenswert das neu zu machen, Chrome faengt naemlich demnaechst an zu jammern wenn das zertifikat kein SHA2 und noch laenger gueltig ist:
https://blog.pki.dfn.de/2014/09/update-zu-google-chromesha-1-zertifikate/
Kurzzusammenfassung: Schon ab November/Dezember (Chrome 39) wirds z.B. bei dem bis 2019 laufenden SHA1-Zertifikat fuer fsi.informatik Warnungen geben, ab Maerz/April 2015 wird das Zeritifkat als wertlos/ungueltig betrachtet.

CFP · 18. Oktober 2014 um 15:02

Lustigerweise sind Googles Zertifikate alle mit SHA-1 signiert