Ich hatte eben Probleme, mich mit forum.freifunk.net zu verbinden. Anscheinend antwortete der OCSP-Server nicht, und ich habe hier OCSP als mandatorisch konfiguriert.
Um sicher zu stellen, dass es kein lokales Problem bei mir ist, habe ich mal den SSL-Test von SSL Server Test (Powered by Qualys SSL Labs) drüber laufen lassen, der mich auch bestätigt hat: OCSP ERROR: Exception: Read timed out [http://ocsp6.wosign.com/ca6/server1/free].
Soweit, so schlecht, aber das betrifft wohl in der Praxis nur die wenigsten. Viel schlimmer finde ich, dass ich in den Ergebnissen des SSL-Tests auch noch folgendes finden musste: OpenSSL Padding Oracle vuln. (CVE-2016-2107) Yes INSECURE
Läuft das Forum wirklich auf einem Server, auf dem Sicherheitspatches von Anfang Mai noch nicht eingespielt sind?
Die einzige Ausnahme dazu sehe ich in blog.freifunk.net. Das läuft mit einem Let’s Encrypt Zertifikat.
Es würde mich sehr freuen, wenn die Admins da einen Teil ihrer Freizeit drauf verwenden könnten, da die Artikel das Misstrauen zum Jahresende ankündigen.