Homepage - SSL-Probleme


#1

Leider haben wir gerade Probleme mit dem nginx bzw den Zertifikaten. Wer hat da das letzte Mal Zertifikate ausgetauscht bzw. die Config geändert?

Hier eine Quick&Dirty-Auswertung:

https://freifunk-muenster.de		Fehler	Zertifikat: www.freifunk-muensterland.de; freifunk-muensterland.de
https://www.freifunk-muensterland.de	Fehler	Zertifikat: www.freifunk-muenster.de; freifunk-muenster.de
https://www.freifunk-muenster.de	Fehler	ERR_TUNNEL_CONNECTION_FAILED
https://freifunk-muensterland.de	OK	Weiterleitung ohne Fehler auf https://freifunk-muensterland.de

Agenda 09.12.2015
#2

Aus den Fehlerbeschreibungen werde ich nicht ganz schlau.

www.freifunk-muensterland.de und
freifunk-muensterland.de sind IMHO ‘halbwegs’ in Ordnung (https://www.ssllabs.com/ssltest/analyze.html?d=freifunk-muensterland.de)

freifunk-muenster.de ist offline?


#3

Das Problem von freifunk-muensterland.de ist HSTS

Dabei teilt die Website beim ersten Besuch mit das sie für die nächsten X tage (vom Admin Konfigurierbar) unter der Adresse mit dem Zertifikat XYZ erreichbar ist. Wenn das Zertifikat vorher getauscht wird gibt es einen Fehler (und man kommt nicht mehr auf die Website). Wenn das Zertifikat ausläuft bevor der HSTS Zeitraum ausläuft dürfte es auch Spaß geben. In einer der letzten c’ts gabs Artikel dazu http://www.heise.de/ct/ausgabe/2015-25-Verschluesselung-mit-HSTS-und-Pinning-absichern-2909952.html die kann ich bei Interesse mal mitbringen.

Bullshit, da wird anscheinend je nach Adresse noch ein Zertifikat verwendet was nur für Freifunk-muenster gültig ist und natürlich nicht fürs münsterland gilt. So ganz reproduzieren kann ich das ganze aber nicht.

Nachtrag: Das Problem scheint nur bei www.freifunk-muensterland.de zu bestehen, ohne www geht es bei mir.


#4

Würde sagen wir holen bei letsencrypt neue Certs - allerdings bitte nicht mit dem Python murks. Geht mit nginx eh nicht. :wink: