Chromium 57 akzeptiert WoSign-Zertifikate nicht

Forum und Ticketsystem sind betroffen. Wer kann die Zertifikate mal auf LE umstellen?

https://bugs.chromium.org/p/chromium/issues/detail?id=685826

3 Likes

Für Firefox55 ist das wohl auch angekündigt. Demnach ist wirklich Handlungsbedarf @pberndro

Leider klappt Lets Encrypt gar nicht mit freifunk.net, es haben wohl zu viele Subdomains schon Zertifikate von LE und man kann keine neuen beantragen.

Schon, man muss nur etwas Ausdauer haben. (Siehe Nachbartread)
Und nein, ich bin ausdrücklich gegen eine „Ausname“ seitens LE für freifunk, bei dem Unfug den einige Freifunkende da veranstalten, Das soll nciht auch noch belohnt werden. Dann lieber hier etwas Anlauf nehmen, braucht halt ein paar Tage ggf.

Ah ich hatte es mehrfach für eine Subdomain versucht und es funktionierte nicht, selbst in der Nacht.
Kann natürlich sein das man ab und zu Glück hat, aber sinnvoll finde ich dies nicht zumal man sowas ja via cronjobs regeln möchte.
Under diesen Umständen wäre eine eigene Domain evtl doch sinnvoller als freifunk.net :slight_smile:

Stichtag bei Mozilla wird der 13.06.2017 sein.

https://wiki.mozilla.org/RapidRelease/Calendar

Könnte man das Forum nicht auf forum.ffrl.net legen?

1 Like

Als uebergang vielleicht, aber finde das allgemeine Forum sollte nciht bei einer Community/Domain liegen.
Was ist daran so schwer ein Cert für das Forum zu bekommen? Worst Case eins für paar Euro kaufen und dann bald ersetzen mit Lets Encrypt. Soweit ich das in einem anderen Thread verstanden habe, fehlt eher ein Maintainer vom Forum.

PS: Bin immer noch für die Suffix liste, dann hätte das Limit Problem, jede Community für sich und auch andere Sachen im Browser wie Cookies sind sicher gekapselt.

3 Likes

In Bezug auf das Forum ist das alles muessig, wenn das immer noch der Fall ist:

This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure.
Grade set to F.

3 Likes

Wenn das aktuell so ist (ich weiß es auch nicht), dann sollten wir mal aktiv jemanden suchen, der das machen würde.

3 Likes

Hallo,

so halten wir mal fest:

  • Keiner der Maintaince macht und vermutlich keiner aktiv der Zugriff hat, da schon seit langem in X Threads geredet wird und nichts passiert.
  • SSL Cert – fehler in Browsern, da der Anbieter schlimm ist.
  • SSL settings/Server Software - Fehlende Updates auf dem Server
  • Fehlende Updates das Beispiel möglich ist teile von Privatnachrichten zu lesen. Vermutlich noch mehr. Die Forumssoftware hat löblicherweise ein Bountyprogramm.
  • Vermutlich noch andere Dienste am laufen, da die Liste der offenen Standardports „lang“ ist.

Wer kann das ändern? Wenn muss man nerven? Lieber geht das Forum mal 1 Tag nicht und es ist alles wieder sicher

xaver

Können tun das viele. (Ich kenne mindestens 3 mit dem FFRL verbundene Communities, die eigene Discourse-Installationen haben und diese auch aktuell in Schuss halten, es also erwiesenermaßen hinbekommen. Und sich auch um eine weitere kümmern würden. Zumindest für mich würde ich das behaupten wollen. Und wenn man die Münsteraner freundlich fragt, dann würden die sicher auch nicht ablehnen. Das unterstelle ich jetzt schlicht mal.)

Konkret: Hilfsangebote in dieser Richtung hat es „an den Vorstand“ von mehreren Personen in der Vergangenheit (letzten Jahr, dieses Jahr) gegeben.
Da hilft dann auch nicht, wenn auf Mitgliedsversammlungen auf entsprechende Kritik (sinngemäß) gesagt wird „Ein Verein ist mehr als nur der Vorstand. Ein Verein wird durch die Aktivität der Mitglieder, die sich einbringen etc…“

Wenn niemand deligiert oder dazu bereit ist, dann ist das ein Problem.

3 Likes

Wir haben uns von Seiten des Moderatoren Teams an den Vorstand mit der Bitte gewandt einen Maintainer zu finden.

8 Likes

Ich würde mich durchaus an der Administration beteiligen, aber diese nicht alleine übernehmen. Ich administriere aber (trotz Administrationsstatus dort) nicht das Münsteraner Forum. Das wäre also auch eher neu für mich.

Ich bin gespannt, wie der Vorstand reagiert. Ich kann mir gut vorstellen, dass wir bald neue Admins suchen werden und dass es dann besser laufen wird.

1 Like

@Shiva ist da auf eine schöne Lösung gestoßen:

@CyrusFox damit sollte sich zuverlässig ein LE Zertifikat fürs Forum erstellen lassen, sofern als zusätzliche Domain beispielsweise forum.ffrl.de herhält.

Braucht es nicht.
Scheinbar hat leider Lets Encrypt das Limit auf 500 pro Woche angehoben (@andibraeu malinglist link). Das sind dann 500 neue Certs pro Woche. Renew verbraucht kein teil des Limits. Also sobald es ein cert gibt, wird auch der renew immer klappen.

2 Likes

4 Beiträge wurden in ein neues Thema verschoben: Googles Zertifikate-Politik

Hmm, ist das jetzt gut oder schlecht? Für eine Subdomain bei einem größeren Hoster bekomme ich weiterhin „too many certificates already issued“.

Wäre dies hier eine Option https://publicsuffix.org?

es kann ja sein das le die zertifkate pro domain rechnet und nicht pro subdomain, das wäre natürlich schlecht.

Den Vorschlag gab es meinerseits schon öfters, auch in diesem Thread. Daraus würden sich auch noch weitere Vorteile ergeben. Problem das freifunk.net auf www.freifunk.net oder so wandern müsste oder auf freifunk.org . Dann wäre net der Bereich der Communitys und org das übergeordnete. (suffix Domain kann beispielsweise keine Cookies haben usw. nur die Subdomains.) Alles via Weiterleitung machbar…
Klar is das Limit pro Domain und nur für freifunk.net angehoben. Wie hier oder in einem anderen Thread diskutiert machen manche statt renew ein neues cert (renew geht am Limit vorbei) und auch fuer Router Zertifikate.
Es gibt ein Workaround den @Shiva geposted hat. Scheinbar wird nur die erste Domain auf das Limit angerechnet und wenn die Community als erstes eine eigene Domain nutzt und dann freifunk.net gibt es keine Probleme.

Allgemein geht es eigentlich in dem Thread um das Forums Cert.