FSI-Server: Neues SSL-Zertifikat

Disclaimer: Dieser Thread wurde aus dem alten Forum importiert. Daher werden eventuell nicht alle Formatierungen richtig angezeigt. Der ursprüngliche Thread beginnt im zweiten Post dieses Threads.

FSI-Server: Neues SSL-Zertifikat
Leider haben wir erst jetzt bemerkt, dass unser altes Zertifikat vor zwei Tagen abgelaufen ist, aber besser spaet als nie:

6 Likes

Ok ich hab das jetzt ausgedruckt, aber wie krieg ichs jetzt in meinen Rechner rein?

1 Like

einscannen!


Ich dachte auf nen Holztisch legen und abfotografieren wäre die übliche Vorgehensweise…

Vorsicht!
Ich habe ernsthafte Zweifel an der Echtheit dieses Zertifikats. Da fehlt doch eindeutig ein gültiger Hash-Fingerprint! So müsste der in etwa aussehen:

1 Like

Anonymous delivers.

1 Like

Neue Einstellungen? MAC jetzt SHA-256 statt SHA-1. Sehr schön. :slight_smile:


Die DFN-CA kann inzwischen SHA-2?


Mir ist nur aufgefallen, dass das eine Add-On im Browser bei mir das Forum nun höher einstuft (wg. der Veränderung in der Rubrik „MAC“) :wink:

Attachment:
fsi-firefox.png: https://fsi.cs.fau.de/unb-attachments/post_133687/fsi-firefox.png


Ah, das ist nicht der Hash fuer die Signatur vom Zertifikat sondern die Ciphersuite fuer die Verbindung. Das kommt vermutlich daher, dass der neue Debian-Apache die jetzt auch kann.


Genau.

Aber ja; es wäre eigentlich mal an der Zeit, dass die Zertifikatssignatur auch mit SHA-2 erfolgt – die meisten großen CAs können das inzwischen … :wink:

Ah, ok. :slight_smile:


Gibts jetzt auch mal ordentliche Ciphersuites in Debian stale? Dann könnte ich ja mal wieder ein Downgrade machen.
Seit wann ist das so? Welche Version von Apache ist denn gerade in Debian stable?


https://www.debian.org/News/2014/20140712
apache2 (2.2.22-13+deb7u2) wheezy; urgency=medium

  • Backport support for SSL ECC keys and ECDH ciphers.

    Bump build-dependency for libssl-dev to 1.0.1e-2+deb7u8 to get the
    compatibility fix for older Safari browsers. Apache2 will still
    run with older libssl-1.0.0 but without the compatibility fix.

    In case of problems, see README.Debian.


Ah, sehr gut. Hat ja auch lange genug gedauert…

Jetzt bräuchte der Apache in Debian nur noch OCSP-Stapling (auch wenn das Feature gar nicht mal so nütlich ist, bitte keine Belehrung deswegen, das ist mir bekannt).


Woah, das merk ich mir!


Immerhin hat man die Wahl zwischen Debian stale, rusting und broken. Anders als bei Arschlinux… duck&renn

1 Like

Inzwischen ist für die Zertifikate übrigens SHA-256 möglich :wink:


Und ab demnaechst auch dringend empfehlenswert das neu zu machen, Chrome faengt naemlich demnaechst an zu jammern wenn das zertifikat kein SHA2 und noch laenger gueltig ist:
https://blog.pki.dfn.de/2014/09/update-zu-google-chromesha-1-zertifikate/
Kurzzusammenfassung: Schon ab November/Dezember (Chrome 39) wirds z.B. bei dem bis 2019 laufenden SHA1-Zertifikat fuer fsi.informatik Warnungen geben, ab Maerz/April 2015 wird das Zeritifkat als wertlos/ungueltig betrachtet.


Lustigerweise sind Googles Zertifikate alle mit SHA-1 signiert :smiley: