SSL-Zertifikat abgelaufen (Karte)

Guten Abend,

auf https://karte.freifunk-muensterland.org/ ist das Zertifikat abgelaufen.

EDIT: https://service.freifunk-muensterland.de/maps/map/ geht auch nicht.

Da wird wohl der Cronjob zur Aktualisierung nicht laufen…
Laut Ansible config sollte es da zumindest einen geben…

1 „Gefällt mir“

Es ist etwas doof, dass es, soweit ich sehe, keine http Version der Seite gibt. Sonst könnte man vorübergehend darauf ausweichen…

Man könnte es in der PHP ändern

Was meinen?

Geht nicht, da HTTPS per HSTS erzwungen wird.[quote=„cosimo, post:4, topic:2075, full:true“]
Man könnte es in der PHP ändern
[/quote]
?¿?

2016-10-17 19:42:01,439:ERROR:simp_le:257: Existing (service.freifunk-muensterland.de, graphite.freifunk-muensterland.de, karte.freifunk-muensterland.org, karte.freifunk-muensterland.de) and requested (service.freifunk-muensterland.de, graphite.freifunk-muensterland.de, karte.freifunk-muensterland.de) SANs mismatch
Backup and remove existing cert if you want to proceed

Eigentlich müsste vor einiger Zeit auch eine Mail im Ticketsystem aufgeschlagen sein, dass das Cert nicht verlängert wurde.

…ich schaue mal, dass ich es gefixt bekomme.

1 „Gefällt mir“

Ok Handle dann ist es klar

Geht wieder (ganz ohne PHP ;)). Habe gemacht, wie in der Anweisung geheißen

root@services /etc/ssl # mkdir broken 
root@services /etc/ssl # mv fullchain.pem key.pem broken/

Die genaue Ursache müsste nun natürlich mal erforscht werden @Fungur. Habe leider keine Zeit dazu.


PS: Der Sinn an HSTS ist ja, dass es nicht funktioniert, wenn es kaputt ist. Das soll so. Es soll einem auf die Füße fallen, wenn man Mist baut, ansonsten endet man nämlich in “Ach das geht dann auch ohne schon irgendwie”). Kein Kondom zur Hand, “ach da wird schon nichts passieren…” :stuck_out_tongue:

Beim Generalisieren von services_nginx/tasks/main.yml am 5.9. ist die Domäne karte.freifunk-muensterland.org aus der Konfiguration entfernt worden. simp_le mag keine Domänen aus einem gültigen Zertifikat entfernen, weshalb die Fehlermeldung kam.

Wenn man an der Liste der Domänen was ändert, ist ggf. Handarbeit nötig (d.h. altes Zertifikat löschen/verschieben), damit man ein neues Zertifikat bekommt.

1 „Gefällt mir“

Könntest du die karte.freifunk-muensterland.org wieder rein nehmen? Die schmeißt jetzt natürlich ein COMMON NAME INVALID.

Das war auch keine Absicht. Können wir wiederherstellen.

certs für 3 Monate? Warum nicht für 1 Jahr direkt? (Standard?)

LetsEncrypt gib nur 3 Monats Zertifikate aus. Dafür aber Kostenlos :slight_smile:

Die SSL-Zertifikate von Let’s Encrypt sind nur maximal drei Monate
gültig und müssen somit regelmäßig aktualisiert werden. Durch
diese Beschränkung und damit verbundenen Zwangsupdates wird
sichergestellt, dass eventuell bekannt gewordene Sicherheitslücken in
den Verschlüsselungstools auf allen Servern, die Let’s Encrypt für ihre
Zertifikate einsetzen, relativ zeitnah gefixt werden.

Quelle:
https://www.lamp-solutions.de/lets-encrypt-kostenlose-ssl-verschluesselung/

4 „Gefällt mir“

Ist das bei euch repariert? Bei mir geht es noch nicht wieder.

Ich kann zwar im Privatmodus auf HTTP zurückschalten, aber HTTPS wirft immer noch einen Fehler:

Error code: SSL_ERROR_BAD_CERT_DOMAIN

https://service.freifunk-muensterland.de geht…
https://karte.freifunk-muensterland.org/ meldet:

NET::ERR_CERT_COMMON_NAME_INVALID
1 „Gefällt mir“

ebenfalls.
privater modus http geht.

Wird also nur über diese HSTS Anweisung erzwungen, nicht über ne http zu https Umleitung.
Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

1 „Gefällt mir“

https://karte.freifunk-muensterland.org/
ist jetzt garnicht mehr erreichbar, das ist schade wenn man solche links verbreitet die dann nicht mehr erreichbar sind.

Ich finde die Anspruchshaltung einiger wirklich verstörend (und möglicherweise auch zerstörend!). Hier wird von einigen wirklich viel Arbeit reingesteckt und ich freue mich immer darüber, wie toll alles meist funktioniert. Natürlich sollte auf Fehler hingewiesen werden, allerdings sollte meiner Einschätzung nach doch ein wenig mehr auf den Ton geachtet werden! @wurmi Es besteht sicherlich immer die Möglichkeit sich einzubringen. Und alles lässt sich lernen - allerdings nur wenn man sich nicht nur mit Meckern beschäftigt!

1 „Gefällt mir“