locked
IE8: Warum ist dieses Zertifikat ungültig RRS feed

  • Frage

  • Servus

    Wenn ich die Webseite https://connect.fabec.dfs.de mit dem IE8 öffne, meldet der Browser folgendes:
    "Es besteht ein Problem mit dem Sicherheitszertifikat der Website."
    Der IE8 meldet das das Zertifikat für eine andere Webseite ausgestellt wurde.

    Ein Blick in das Zertifikat bringt mich nicht weiter:
    - Zeitraum: gültig
    - Domäne: *.dfs.de passt auch (oder nicht)?

    Was mag der IE8 nicht an dieser Seite?
    Sogar der Firefox in der Version 3.5.x mag diese Seite nicht.

    Danke für eure Hilfe

    Mittwoch, 2. Juni 2010 12:27

Antworten

  • Hi,

    Am 02.06.2010 14:27, schrieb Bloody Beginner:
    Wenn ich die Webseite https://connect.fabec.dfs.de mit dem
    > E8 öffne, meldet der Browser folgendes:[...]
    - Domäne: *.dfs.de passt auch (oder nicht)?
    Nein.

    Feherlmeldung im FF:
    connect.fabec.dfs.de verwendet ein ungültiges Sicherheitszertifikat.
    Das Zertifikat gilt nur für .dfs.de.
    (Fehlercode: ssl_error_bad_cert_domain)

    Der Rechner (siehe CN) heisst aber nicht "
    .dfs.de", sondern
    connect.fabec.dfs.de, der CN ist im Zertifikat flasch angegeben.

    Wenn du ein Zertifikat für alle Hosts/Domains/subs von dfs.de
    haben möchtest, dann brauchst du ein ROOT Zertifikat, daß für die
    Domain dfs.de zuständig ist und dieses kann dann Zertifikate
    für die Systeme darunter erstellen.

    Du kannst aber kein gültiges Zertifikat für "*.irgendwas" bauen, daß
    widerspricht dem Sinn des Zertifikats. Es erlaubt keine Platzhalter.
    Es kann zwar mehrere Namen enthalten, aber keine "Pauschalangaben"
    Deinen Reisepass kriegst du ja auch nur für dich persönlich und nicht
    einen für alle Mitglieder deiner Familie.

    Hinter "*.dfs.de" könnte ja nun jeder Rechner stehen, auch die von
    Hackern übernommenen und du hättest ein riesen Sicherheitsproblem,
    wenn du "*" vertraust und nicht dem speziellem Zielsystem oder dessen
    Stamm/Root Zertifizierung.

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Mittwoch, 2. Juni 2010 12:57

Alle Antworten

  • Hi,

    Am 02.06.2010 14:27, schrieb Bloody Beginner:
    Wenn ich die Webseite https://connect.fabec.dfs.de mit dem
    > E8 öffne, meldet der Browser folgendes:[...]
    - Domäne: *.dfs.de passt auch (oder nicht)?
    Nein.

    Feherlmeldung im FF:
    connect.fabec.dfs.de verwendet ein ungültiges Sicherheitszertifikat.
    Das Zertifikat gilt nur für .dfs.de.
    (Fehlercode: ssl_error_bad_cert_domain)

    Der Rechner (siehe CN) heisst aber nicht "
    .dfs.de", sondern
    connect.fabec.dfs.de, der CN ist im Zertifikat flasch angegeben.

    Wenn du ein Zertifikat für alle Hosts/Domains/subs von dfs.de
    haben möchtest, dann brauchst du ein ROOT Zertifikat, daß für die
    Domain dfs.de zuständig ist und dieses kann dann Zertifikate
    für die Systeme darunter erstellen.

    Du kannst aber kein gültiges Zertifikat für "*.irgendwas" bauen, daß
    widerspricht dem Sinn des Zertifikats. Es erlaubt keine Platzhalter.
    Es kann zwar mehrere Namen enthalten, aber keine "Pauschalangaben"
    Deinen Reisepass kriegst du ja auch nur für dich persönlich und nicht
    einen für alle Mitglieder deiner Familie.

    Hinter "*.dfs.de" könnte ja nun jeder Rechner stehen, auch die von
    Hackern übernommenen und du hättest ein riesen Sicherheitsproblem,
    wenn du "*" vertraust und nicht dem speziellem Zielsystem oder dessen
    Stamm/Root Zertifizierung.

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Mittwoch, 2. Juni 2010 12:57
  • "Mark Heitbrink [MVP]" schrieb
    Hi,

    Du kannst aber kein gültiges Zertifikat für "*.irgendwas" bauen, daß
    widerspricht dem Sinn des Zertifikats. Es erlaubt keine Platzhalter.
    Ähm ich dachte, dass ist der Sinn von Wildcard Certificates?
    Oder verpass' ich grad was? :)

    bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 3. Juni 2010 21:30
  • Hi,

    Am 03.06.2010 23:30, schrieb Norbert Fehlauer [MVP]:
    Ähm ich dachte, dass ist der Sinn von Wildcard Certificates?
    ... und die tun´s?
    Dann dürfte ja die Fehlermeldung nicht kommen. ;-)

    Ich trau dem Zeug nicht. Die Kisten haben ja auch div. Problem bei
    SAN Zertifikaten, wo mehrere "richtige" Namen drin stehen.
    Ich finde eine 1zu1 Zuordnung für mich selbst einfach logischer.

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Freitag, 4. Juni 2010 07:10
  • "Mark Heitbrink [MVP]" schrieb

    Hi,

    Ich finde eine 1zu1 Zuordnung für mich selbst einfach logischer.
    Mach das mal mit Hostheadern ;)

    Bye
    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Freitag, 4. Juni 2010 11:15
  • Am 02.06.2010 14:57, schrieb Mark Heitbrink [MVP]:

    - Domäne: *.dfs.de passt auch (oder nicht)?
    Nein. Feherlmeldung im FF: connect.fabec.dfs.de verwendet ein
    ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für
    .dfs.de. (Fehlercode: ssl_error_bad_cert_domain)
    ok, aufgrund der möglichen Wildcard Geschichte, aber der Fehlermeldung
    wird das Zertifikat wohl mit Wildcard für "*.fabec.dfs.de" augestellt
    werden müssen.

    Wäre jedenfalls einen Versuch Wert.

    Tschö
    Mark
    -- Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Freitag, 4. Juni 2010 19:03
  • Hi,

    Am 02.06.2010 14:27, schrieb Bloody Beginner:
    Wenn ich die Webseite https://connect.fabec.dfs.de mit dem
    > E8 öffne, meldet der Browser folgendes:[...]
    - Domäne: *.dfs.de passt auch (oder nicht)?
    Nein.

    Feherlmeldung im FF:
    connect.fabec.dfs.de verwendet ein ungültiges Sicherheitszertifikat.
    Das Zertifikat gilt nur für .dfs.de.
    (Fehlercode: ssl_error_bad_cert_domain)

    Der Rechner (siehe CN) heisst aber nicht "
    .dfs.de", sondern
    connect.fabec.dfs.de, der CN ist im Zertifikat flasch angegeben.

    Wenn du ein Zertifikat für alle Hosts/Domains/subs von dfs.de
    haben möchtest, dann brauchst du ein ROOT Zertifikat, daß für die
    Domain dfs.de zuständig ist und dieses kann dann Zertifikate
    für die Systeme darunter erstellen.

    Du kannst aber kein gültiges Zertifikat für "*.irgendwas" bauen, daß
    widerspricht dem Sinn des Zertifikats. Es erlaubt keine Platzhalter.
    Es kann zwar mehrere Namen enthalten, aber keine "Pauschalangaben"
    Deinen Reisepass kriegst du ja auch nur für dich persönlich und nicht
    einen für alle Mitglieder deiner Familie.

    Hinter "*.dfs.de" könnte ja nun jeder Rechner stehen, auch die von
    Hackern übernommenen und du hättest ein riesen Sicherheitsproblem,
    wenn du "*" vertraust und nicht dem speziellem Zielsystem oder dessen
    Stamm/Root Zertifizierung.

    Sicher kann man gültige/saubere Wildcard Zertifikate bauen. Hinter www.dfs.de könnte auch jeder rechner stehen, der iis erlaubt ja u.a. dies (wie auch apache) ;)

    Der Grund warum das Zertifikat für nicht gültig erkannt wird ist der schon angesprochene Grund, Wildcardzertfikate gelten nur für die "Subdomain" für welche sie beantragt wurde, also wenn sie für *.dfs.de beantragt ist gilt sie nicht für *.*.dfs.de.

    Ältere Browser halten sich diesbezüglich nicht wirklich an die Spezifikation dafür und nehmen/akzeptieren die Wildcard für sub sub sub domains. Die zugehörige Spezifikation ist folgende
    "Matching is performed using the matching rules specified by [RFC2459]. If more than one identity of a given type is present in the certificate (e.g., more than one dNSName name, a match in any one of the set is considered acceptable.) Names may contain the wildcard character * which is considered to match any single domain name component or component fragment. E.g., *.a.com matches foo.a.com but not bar.foo.a.com. f*.com matches foo.com but not bar.com."
    http://www.ietf.org/rfc/rfc2818.txt

    Browser die, die RFC korrekt implementiert haben
    IE 7
    IE 8
    IE 9 Tech
    FF 3.x und höher
    Opera 7.x und höher
    Bei den anderen weiss ich es nicht.

    Gruß

    Montag, 7. Juni 2010 07:38
  • Hi,

    Am 07.06.2010 09:38, schrieb Wurstsalat:

    Der Grund warum das Zertifikat für nicht gültig erkannt wird ist der
    schon angesprochene Grund, Wildcardzertfikate gelten nur für die
    "Subdomain" für welche sie beantragt wurde,

    Danke für die Erklärung. Werde ich mir mal hinter die Ohren schreiben.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate

    Montag, 7. Juni 2010 08:33