Neues SSL-Zertifikat für willuhn.de

Das SSL-Zertifikat von StartSSL wäre am 04.12.2014 abgelaufen. Ich habe es daher gerade erneuert. Neue Fingerprints:

SHA256
85:76:97:89:CA:77:B8:D5:7E:33:ED:CF:AF:24:AE:24:
19:32:2C:3A:A7:BF:C2:F7:BD:B8:01:29:7E:7C:B8:10
SHA1
29:64:E4:B8:3C:80:FA:82:99:16:07:1B:B0:81:DF:9E:84:0F:25:D5

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Peter am :

Hallo,

warum ist der Link im RSS-Feed ein http und nicht gleich der HTTPS ?
;-)

Christian am :

Ist nicht alle Welt gerade dabei, von SHA-1 Zertifikaten Abstand zu nehmen?

Olaf am :

Jetzt besser? ;)

Rene am :

Hmm - nicht wirklich: https://www.ssllabs.com/ssltest/analyze.html?d=willuhn.de

Olaf am :

Hä? Es ging um die Checksumme, die ich hier im Blog gepostet habe. Auf das Zertifikat selbst hab ich doch keinen Einfluss. Das wird von StartSSL ausgestellt.

Ralf am :

wenn Du den CSR für ein SHA1-Zertifikat erstellst, bekommst Du natürlich auch ein SHA1-Zertifikat.

Bei openssl z.B. "openssl req -nodes -sha256 -newkey rsa:2048 -keyout ... etc"

Olaf am :

Das ändert doch aber nichts an dem CA-Zertifikat von StartSSL, mit dem es signiert ist.

Sven am :

Doch, Ralf hat recht.
Du generierst dir einen Key und Certificate Signing Request mit SHA256 und kriegst dann auch ein SHA256-Zertifikat. Mache es auch mit StartSSL so.

Naja, dann das nächste mal! :-)

Richtig Advanced ist, wenn du die ganze Domain unter https laufen lässt und alles von http auf https mit einem HTTP301 redirectest. Dann kannst auch SPDY aktivieren und die Seite rennt wie schweint :-)

... ich weiß, keiner mag Klugscheißer ;-)

Olaf am :

Nochmal: Davon wird sich das CA-Zertifikat von StartSSL aber nicht ändern, mit dem das Server-Zertifikat signiert ist. Das ist SHA1. Und das ist die eigentlich gefährliche Stelle.

Olaf am :

Hast du einen Server, wo ich mir die Zertifikatskette mit einem SHA256 CA anschauen kann?
Und wenn du auch StartSSL verwendest: Gibt es da irgendwelche Limits oder Beschränkungen hinsichtlich Anzahl von erstellten Zertifikaten oder Häufigkeit der Erstellung?

Sven am :

Moin Olaf,
du hast recht: StartCom hat das Intermediate nur mit Sha1 ausgestattet. Zudem ist ein Root-CA von denen auch noch SHA1.

Das Zertifikat ist auch erst eine Woche alt - naja, dafür ist StartCom kostenlos :-/

Olaf am :

Hat sich erledigt.

Ich kann bei StartSSL kein zweites Zertifikat auf den selben Hostnamen ausstellen, ohne vorher ein Revoke des existierenden zu machen - was ja auch logisch ist, sonst gäbe es das ja doppelt.

Das Revoke kostet US$ 24,90

Ralf am :

sicher macht das Ganze nur Sinn, wenn die gesamte Kette SHA2-Zertifikate enthält. Dass das so ist, dafür wird die CA sorgen.

Ja ich weiss, bei StartSSL muss man für den revoke des freien Zertifikates bezahlen. Vielleicht hilft das beim nächsten Mal:

https://www.sha2sslchecker.com/sha1-to-sha2-migration.php

Olaf am :

> sicher macht das Ganze nur Sinn, wenn die
> gesamte Kette SHA2-Zertifikate enthält. Dass
> das so ist, dafür wird die CA sorgen.

Und deswegen schrieb ich, dass es nichts bringt, das eigene Zertifikat mit SHA-256 zu machen, wenn die CA oben drueber SHA1 verwendet. Denn dort lauert aus meiner Sicht naemlich die eigentliche Gefahr - dass jemand sich scheinbar valide Server-Zertifikate selbst erzeugen kann, weil er ein falsches CA-Zertifikat mit dem selben Fingerprint einer echten CA hat.

Ralf am :

...
keine ernstzunehmende CA wird ein SHA2-Zertifikat mit dem Private-Key eines SHA1-Intermediate- oder -Root-Zertifikates signieren! Wie gesagt, dafür zu sorgen, dass die gesamte Kette SHA2-Zertifikate enthält, ist deren Aufgabe! Hättest Du also ein solches Zertifikat bestellt, so würde das bzw. würden die höheren Zertifikate ebenfalls andere sein, als die jetzigen.

Olaf am :

Es spielt keine Rolle mehr. Naechstes Jahr wieder. Ich denke, bis dahin wird SHA1 wohl noch gehen. Ist ja nun nicht so, dass das trivial zu brechen ist oder hier irgendwelche wichtigen geheimen Daten liegen, die die NSA nicht auch auf anderem Wege kriegen koennte.

Olaf am :

Lies hier mal den Kommentar von Sven von gerade eben.

Ralf am :

...
beim Keytool ist wohl mittlerweile "-sigalg sha256WithRSAEncryption" Standard für "-keyalg RSA"

Sven am :

Frohes Neues!

Gerade herausgefunden, dass die Zertifikate von StartSSL mehrfach signiert sind. Sprich: Man kann die komplette Chain auf SHA2 bekommen, wenn man die 'richtigen' Intermediate-Zertifikate nimmt:
https://www.startssl.com/certs/class1/sha2/pem/

Naja, für mich auch erst so richtig beim nächsten Zertifikat-Update interessant ...

Bg. Sven

P.S.: Wieso sind hier alle Kommentare leer?

Olaf am :

> Wieso sind hier alle Kommentare leer?

Wegen diesem kranken Verhalten von PHP:
https://bugs.php.net/bug.php?id=61354

Die haben in PHP 5.4 das Default-Encoding der Funktion "htmlspecialchars" von latin1 auf UTF8 geaendert. Die Blog-Datenbank war bis dato noch latin1. Vor ~2 Wochen habe ich auf einen neuen Server migriert. Die Datenbank war nach wie vor noch latin1, weil ich keinen Grund gesehen hatte, das Encoding der DB nur deshalb zu konvertieren. Die genannte PHP-Funktion geht jetzt aber pauschal von UTF8 aus (wenn man das Encoding nicht explizit angibt, was Serendipity nicht macht). Effekt: Die Funkion liefert einfach einen Leerstring zurueck. Habe jetzt doch gezwungenermassen die DB auf UTF8 konvertiert.

User am :

Hallo, ich fänd's gut, wenn unten auf den Webseiten auch der SHA1-Fingerprint stünde. Den fragt Jameica nämlich per Zertifikatswarnung an, und auf diesen Blogbeitrag mit SHA1-Fingerprint bin ich nur zufällig gestoßen, wollte schon eine Mailanfrage stellen. Danke

Olaf am :

Die aktuelle Jameica-Version zeigt in dem Zertifikatsdialog auch den SHA-256 Hash an.

User am :

ok, danke. Mein Jameica 2.6.0 will sich nicht aktualisieren bzw. zeigt in der Update-Funktion 2.6.2 nicht als vorhanden an (und für manuelle Installation fehlt mir gerade die Muße).

Olaf am :

Jameica selbst lässt sich nicht per Online-Update aktualisieren. Hierzu musst du die neue Jameica-Version manuell runterladen und entpacken.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.