Neues SSL-Zertifikat für willuhn.de
Geschrieben von Olaf Willuhn am
Das SSL-Zertifikat von StartSSL wäre am 04.12.2014 abgelaufen. Ich habe es daher gerade erneuert. Neue Fingerprints:
SHA256
SHA256
85:76:97:89:CA:77:B8:D5:7E:33:ED:CF:AF:24:AE:24:SHA1
19:32:2C:3A:A7:BF:C2:F7:BD:B8:01:29:7E:7C:B8:10
29:64:E4:B8:3C:80:FA:82:99:16:07:1B:B0:81:DF:9E:84:0F:25:D5
Trackbacks
Trackback-URL für diesen EintragDieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.
Keine Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | VerschachteltPeter am :
warum ist der Link im RSS-Feed ein http und nicht gleich der HTTPS ?
;-)
Christian am :
Olaf am :
Rene am :
Olaf am :
Ralf am :
Bei openssl z.B. "openssl req -nodes -sha256 -newkey rsa:2048 -keyout ... etc"
Olaf am :
Sven am :
Du generierst dir einen Key und Certificate Signing Request mit SHA256 und kriegst dann auch ein SHA256-Zertifikat. Mache es auch mit StartSSL so.
Naja, dann das nächste mal! :-)
Richtig Advanced ist, wenn du die ganze Domain unter https laufen lässt und alles von http auf https mit einem HTTP301 redirectest. Dann kannst auch SPDY aktivieren und die Seite rennt wie schweint :-)
... ich weiß, keiner mag Klugscheißer ;-)
Olaf am :
Olaf am :
Und wenn du auch StartSSL verwendest: Gibt es da irgendwelche Limits oder Beschränkungen hinsichtlich Anzahl von erstellten Zertifikaten oder Häufigkeit der Erstellung?
Sven am :
du hast recht: StartCom hat das Intermediate nur mit Sha1 ausgestattet. Zudem ist ein Root-CA von denen auch noch SHA1.
Das Zertifikat ist auch erst eine Woche alt - naja, dafür ist StartCom kostenlos :-/
Olaf am :
Ich kann bei StartSSL kein zweites Zertifikat auf den selben Hostnamen ausstellen, ohne vorher ein Revoke des existierenden zu machen - was ja auch logisch ist, sonst gäbe es das ja doppelt.
Das Revoke kostet US$ 24,90
Ralf am :
Ja ich weiss, bei StartSSL muss man für den revoke des freien Zertifikates bezahlen. Vielleicht hilft das beim nächsten Mal:
https://www.sha2sslchecker.com/sha1-to-sha2-migration.php
Olaf am :
> gesamte Kette SHA2-Zertifikate enthält. Dass
> das so ist, dafür wird die CA sorgen.
Und deswegen schrieb ich, dass es nichts bringt, das eigene Zertifikat mit SHA-256 zu machen, wenn die CA oben drueber SHA1 verwendet. Denn dort lauert aus meiner Sicht naemlich die eigentliche Gefahr - dass jemand sich scheinbar valide Server-Zertifikate selbst erzeugen kann, weil er ein falsches CA-Zertifikat mit dem selben Fingerprint einer echten CA hat.
Ralf am :
keine ernstzunehmende CA wird ein SHA2-Zertifikat mit dem Private-Key eines SHA1-Intermediate- oder -Root-Zertifikates signieren! Wie gesagt, dafür zu sorgen, dass die gesamte Kette SHA2-Zertifikate enthält, ist deren Aufgabe! Hättest Du also ein solches Zertifikat bestellt, so würde das bzw. würden die höheren Zertifikate ebenfalls andere sein, als die jetzigen.
Olaf am :
Olaf am :
Ralf am :
beim Keytool ist wohl mittlerweile "-sigalg sha256WithRSAEncryption" Standard für "-keyalg RSA"
Sven am :
Gerade herausgefunden, dass die Zertifikate von StartSSL mehrfach signiert sind. Sprich: Man kann die komplette Chain auf SHA2 bekommen, wenn man die 'richtigen' Intermediate-Zertifikate nimmt:
https://www.startssl.com/certs/class1/sha2/pem/
Naja, für mich auch erst so richtig beim nächsten Zertifikat-Update interessant ...
Bg. Sven
P.S.: Wieso sind hier alle Kommentare leer?
Olaf am :
Wegen diesem kranken Verhalten von PHP:
https://bugs.php.net/bug.php?id=61354
Die haben in PHP 5.4 das Default-Encoding der Funktion "htmlspecialchars" von latin1 auf UTF8 geaendert. Die Blog-Datenbank war bis dato noch latin1. Vor ~2 Wochen habe ich auf einen neuen Server migriert. Die Datenbank war nach wie vor noch latin1, weil ich keinen Grund gesehen hatte, das Encoding der DB nur deshalb zu konvertieren. Die genannte PHP-Funktion geht jetzt aber pauschal von UTF8 aus (wenn man das Encoding nicht explizit angibt, was Serendipity nicht macht). Effekt: Die Funkion liefert einfach einen Leerstring zurueck. Habe jetzt doch gezwungenermassen die DB auf UTF8 konvertiert.
User am :
Olaf am :
User am :
Olaf am :