1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS: Chrome will HTTP Public Key…

Wosign / StartSSL

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wosign / StartSSL

    Autor: jayrworthington 29.10.17 - 12:52

    Die sind leider nicht aus Chrom[e|ium] "rausgeflogen", sondern wurden intern auf Revoked gesetzt, es kommt also nicht einfach eine CA-Unbekannt Warnung (die man skippen kann), sondern "Ungueltiges Zertifikat, kein Zugriff". Es gibt mindestens mit dem aktuellen Chromium keine moeglichkeit mehr, auf so einen Server zuzugreifen, solchen Mist bin ich mir sonst nur von Mozilla gewohnt :-@

  2. Re: Wosign / StartSSL

    Autor: Xiut 29.10.17 - 13:44

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Die sind leider nicht aus Chrom "rausgeflogen", sondern wurden intern auf
    > Revoked gesetzt, es kommt also nicht einfach eine CA-Unbekannt Warnung (die
    > man skippen kann), sondern "Ungueltiges Zertifikat, kein Zugriff". Es gibt
    > mindestens mit dem aktuellen Chromium keine moeglichkeit mehr, auf so einen
    > Server zuzugreifen, solchen Mist bin ich mir sonst nur von Mozilla gewohnt
    > :-@

    Kann man nicht wie bei einem ungültigen Zertifikat einfach unten auf "Erweitert" klicken und dort dann auf "Weiter zu XY (unsicher)" klicken?

  3. Re: Wosign / StartSSL

    Autor: ConiKost 29.10.17 - 14:17

    Zumindest "badidea" einfach frei eintippen geht immer im Chrome, dann lädt er die Seite.

  4. Re: Wosign / StartSSL

    Autor: eisbart 29.10.17 - 15:08

    Man muss auch entweder inkompetent sein oder gar nichts mit kriegen wenn man nach dem ganzen rummel nicht schon auf was anderes migriert hat. Sskm

  5. Re: Wosign / StartSSL

    Autor: jayrworthington 29.10.17 - 16:06

    eisbart schrieb:
    --------------------------------------------------------------------------------
    > Man muss auch entweder inkompetent sein oder gar nichts mit kriegen wenn
    > man nach dem ganzen rummel nicht schon auf was anderes migriert hat. Sskm

    Danke Du Schlaumeier, genau darum geht es, wenn Google einfach ein Root-Zertifikat, anstatt wie SELBER x-mal angekündigt, nicht a) fuer Zertifikate die nach September 2016 ausgestellt wurden, und b) nicht einfach fuer untrusted erklärt, sondern einfach kurzerhand das ganze Root-Zertifikat auf REVOKED setzt (was eigendlich ein klarer Verstoss gegen die offiziellen und eigenen Richtlinien ist, aber die gelten natuerlich nur fuer andere). Was interessiert Planung von Firmen *basierend auf den Aussagen von Google*, das Googel hat enschieden...

    Und, da ohne Zweifel gleich noch so einer wie Du kommt und was von letsencrypt faselt, benutzt das mal bei *irgendeiner* Software die den Java Keystore benutzt, wie praktisch jede existierende Groupware ausser MS-Exchange...

  6. Re: Wosign / StartSSL

    Autor: Anonymer Nutzer 29.10.17 - 16:13

    google definiert das internet. akzeptiers. ändern will es keiner. die eu müsste google ihren browser wegnehmen.

  7. Re: Wosign / StartSSL

    Autor: Xiut 29.10.17 - 16:13

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > eisbart schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Man muss auch entweder inkompetent sein oder gar nichts mit kriegen wenn
    > > man nach dem ganzen rummel nicht schon auf was anderes migriert hat.
    > Sskm
    >
    > Danke Du Schlaumeier, genau darum geht es, wenn Google einfach ein
    > Root-Zertifikat, anstatt wie SELBER x-mal angekündigt, nicht a) fuer
    > Zertifikate die nach September 2016 ausgestellt wurden, und b) nicht
    > einfach fuer untrusted erklärt, sondern einfach kurzerhand das ganze
    > Root-Zertifikat auf REVOKED setzt (was eigendlich ein klarer Verstoss gegen
    > die offiziellen und eigenen Richtlinien ist, aber die gelten natuerlich nur
    > fuer andere). Was interessiert Planung von Firmen *basierend auf den
    > Aussagen von Google*, das Googel hat enschieden...
    >
    > Und, da ohne Zweifel gleich noch so einer wie Du kommt und was von
    > letsencrypt faselt, benutzt das mal bei *irgendeiner* Software die den Java
    > Keystore benutzt, wie praktisch jede existierende Groupware ausser
    > MS-Exchange...

    Nö. Google hat ja entsprechend gehandelt, weil die entsprechenden CAs sich nicht an die strikten Regeln gehalten haben. Und das so weit ich weiß sogar mehrmals...

    Entsprechend sollte unabhängig davon, wie Google gehandelt hat (was bei weitem nicht von heute auf morgen passiert ist...), jeden mit einem solchen Zertifikat dazu bewegen, sich ein neues Zertifikat von einer anderen CA ausstellen zu lassen, weil deren Handeln eben auch das Vertrauen in die sicherheit der eigenen Zertifikate zumindest deutlich mindern sollte...

    Und es gab und gibt da auch andere gute und sogar preiswerte Alternativen...

  8. Re: Wosign / StartSSL

    Autor: jayrworthington 29.10.17 - 16:25

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Nö. Google hat ja entsprechend gehandelt, weil die entsprechenden CAs sich
    > nicht an die strikten Regeln gehalten haben. Und das so weit ich weiß sogar
    > mehrmals...

    "Die haben angefangen, also verletzen wir die Regeln jetzt erst recht, äätsch"...?

    > Und es gab und gibt da auch andere gute und sogar preiswerte
    > Alternativen...

    Alles nicht das Problem - einfach die EIGENEN Ankündigungen ("zertifkate nach September 2016", "distrusten"), und die Planung anderer Firmen über den Haufen zu werfen, ohne jegliche ankündigung, IST ein Problem.

    Ich kann auch jetzt noch nix dazu finden, dass sie das StartSSL Zertifikat intern (man sieht es weder im Cert-Manager von Chrome auf linux, noch im Windows-Certifikat-Manager) geblockt haben, man koennte fast meinen, Google weiss ganz genau, dass es so nicht sauber ist...

  9. Re: Wosign / StartSSL

    Autor: Anonymer Nutzer 29.10.17 - 17:41

    https://wiki.mozilla.org/CA:WoSign_Issues

    es wurde mehrfach und lange vorher angekündigt, da ist nichts plötzlich und unerwartet passiert, bzw. wieviel blabla ohne konsequenz und vorlauf hätte es denn noch geben sollen, noch mehr jahre?



    1 mal bearbeitet, zuletzt am 29.10.17 17:41 durch ML82.

  10. Re: Wosign / StartSSL

    Autor: [Benutzernamen hier eingeben] 29.10.17 - 21:39

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > es wurde mehrfach und lange vorher angekündigt, da ist nichts plötzlich und
    > unerwartet passiert, bzw. wieviel blabla ohne konsequenz und vorlauf hätte
    > es denn noch geben sollen, noch mehr jahre?

    Denkfehler: Wenn du auf StartSSL- und WoSign-Zertifikate für eine Dauer von 2 Jahren gepinnt hast, nützt dir eine Ankündigung von einem Jahr im Voraus auch nichts. (Das spricht gegen HPKP, aber nicht gegen den Rauswurf von WoSign/StartCom)

    Edit: Ne doch nicht so ganz, man kann doch wohl über eine gültige Verbindung mit dem gepinnten Zertifikat eine andere CA, z.B. Let’s Encrypt nachtragen. Dummerweise nützt das nichts, wenn ein Nutzer in diesem Übergangs-Zeitraum die Site nicht aufruft, sondern erst nach der Umstellung, aber vor Ablauf der angenommenen zwei Jahre.



    1 mal bearbeitet, zuletzt am 29.10.17 21:42 durch [Benutzernamen hier eingeben].

  11. Re: Wosign / StartSSL

    Autor: jayrworthington 29.10.17 - 22:08

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > es wurde mehrfach und lange vorher angekündigt, da ist nichts plötzlich und
    > unerwartet passiert, bzw. wieviel blabla ohne konsequenz und vorlauf hätte
    > es denn noch geben sollen, noch mehr jahre?

    Lies doch einfach endlich mal was ich schreibe (oder suche selber danach hier, oder bei Google)!!

    1) Zuerst hatte Google angekuendigt, Zertifikate, die VOR Oktober 2016 ausgestellt wurden, und noch gueltig sind, weiterhin zuzulassen.

    2) Google hat gesagt, sie werden Wosign/StartSSL "das vertrauen entziehen" (https://groups.google.com/a/chromium.org/forum/m/#!topic/net-dev/FKXe-76GO8Y), und nicht, in einer technisch nicht erlaubten Art, intern, weder sicht- noch editierbar, ein fremdes Root-Zertifikat auf REVOKED zu setzen, wie wenn der Issuer dies getan hätte! Wenn sie einfach wie angekündigt das Root-Zertifikat rausgeschmissen hätten (und eine normale fehlermeldung wie bei jeder anderen untrusted CA kommen würde), hätte ich null problem damit, dann könnte man das Root-Zertifikat oder auch nur das eigene Server zertifikat in den CertStore importieren, bis es abgelaufen ist. So gibt es jetzt keine saubere möglichkeit mehr, noch irgendwie auf einen internen Server mit StartSSL zertifikat zuzugreifen (nein, jedesmal badidea eintippen lassen ist keine).

    Dieses Gebastel der Browser-Hersteller kotz mich an! Ein Browser fuer Java-Zeug (IE), einer zum auf Mozilla-Ungenehmen Zeug zugreifen (Duplicate Serial-"Error"), einen zum auf Google-Ungenehmes Zeug zugreifen, und in ein paar Monaten einen neuen als 'Zilla-ohne-addons ersatz.

    /rant



    1 mal bearbeitet, zuletzt am 29.10.17 22:11 durch jayrworthington.

  12. Re: Wosign / StartSSL

    Autor: Xiut 29.10.17 - 22:29

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > ML82 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > es wurde mehrfach und lange vorher angekündigt, da ist nichts plötzlich
    > und
    > > unerwartet passiert, bzw. wieviel blabla ohne konsequenz und vorlauf
    > hätte
    > > es denn noch geben sollen, noch mehr jahre?
    >
    > Lies doch einfach endlich mal was ich schreibe (oder suche selber danach
    > hier, oder bei Google)!!
    >
    > 1) Zuerst hatte Google angekuendigt, Zertifikate, die VOR Oktober 2016
    > ausgestellt wurden, und noch gueltig sind, weiterhin zuzulassen.
    >
    > 2) Google hat gesagt, sie werden Wosign/StartSSL "das vertrauen entziehen"
    > (groups.google.com#!topic/net-dev/FKXe-76GO8Y), und nicht, in einer
    > technisch nicht erlaubten Art, intern, weder sicht- noch editierbar, ein
    > fremdes Root-Zertifikat auf REVOKED zu setzen, wie wenn der Issuer dies
    > getan hätte! Wenn sie einfach wie angekündigt das Root-Zertifikat
    > rausgeschmissen hätten (und eine normale fehlermeldung wie bei jeder
    > anderen untrusted CA kommen würde), hätte ich null problem damit, dann
    > könnte man das Root-Zertifikat oder auch nur das eigene Server zertifikat
    > in den CertStore importieren, bis es abgelaufen ist. So gibt es jetzt keine
    > saubere möglichkeit mehr, noch irgendwie auf einen internen Server mit
    > StartSSL zertifikat zuzugreifen (nein, jedesmal badidea eintippen lassen
    > ist keine).
    >
    > Dieses Gebastel der Browser-Hersteller kotz mich an! Ein Browser fuer
    > Java-Zeug (IE), einer zum auf Mozilla-Ungenehmen Zeug zugreifen (Duplicate
    > Serial-"Error"), einen zum auf Google-Ungenehmes Zeug zugreifen, und in ein
    > paar Monaten einen neuen als 'Zilla-ohne-addons ersatz.
    >
    > /rant

    Sorry, aber man kann sich auch echt anstellen... Von wegen "gebastel"... Nichts davon wurde von heute auf morgen entschieden oder so...

    Zudem hast du wohl das von Google falsch verstanden...
    Google hat bereits im Oktober 2016 angekündigt, dass mit der Version 56 dann allen neuen Zertifikaten von diesen CAs, die nach dem 21. Oktober 20216 ausgestellt wurden, nicht mehr vertraut wird und bestimmten Zertfikate, die beim Certificate Trasparency Programm mitmachen oder die auf einer Whitelist stehen (waren glaube ich die Zertifikate der TOP 1 Millionen Webseiten, die ein Zertifikat von diesen CAs hatten) auch davon NOCH ausgenommen sind.
    Damit hat Google einfach nur schon einmal eingegrenzt, dass möglichst niemand mehr neue Zertifikate von diesen CAs ausstellen lässt, um wenigstens breits einen guten Schnitt zu setzen, um spätere Probleme zu begrenzen.

    Google hat aber in derselben Meldung (!!) bereits geschrieben, dass danach mit den folgenden Versionen vom Chrome diese Ausnahmen immer weiter wegfallen und entsprechend das Vertrauen immer weiter entzogen wird, bis zum kompletten (!!) Misstrauen aller Zertifikate von diesen CAs...
    Und das macht ja auch Sinn, weil zumindest einer dieser beiden CAs aufgefallen ist, weil sie Zertifikate mit einem falschen Ausstellungsdatum ausgestellt hat, um genau solche Ausnahmen bezüglich SHA1 zu umgehen...

    Also war das alles bereits eine ganze Weile bekannt, was einem genügend Zeit geboten hat, um neue Zertifikate ausstellen zu lassen...

    Hier noch einmal zum selbst nachlesen: https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

    Und selbst Mozilla hat auch bereits 1 Woche davor (!!) angekündigt, dass sie das auch schrittweise durchziehen, aber am Ende auch das Root-Zertifikat komplett erntfernt wird.. Und sogar noch mehr "Mozilla reserves the right to take further or alternative action."

    Also wer da nicht schnellstmöglich handelt und die Zertifikate austauscht, ist selbst Schuld. Zeit genug war auf jeden Fall da und es lag auch nicht nur an Google. Immerhin hätte Mozilla genau dasselbe machen können (laut ihrer Ankündigung), weswegen man sich genau darauf hätte vorbereiten MÜSSEN... (Die entsprechende Meldung wird sogar von Google auch noch in der eigenen Ankündigung verlinkt)

  13. Re: Wosign / StartSSL

    Autor: jayrworthington 29.10.17 - 23:01

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Und selbst Mozilla hat auch bereits 1 Woche davor (!!) angekündigt, dass
    > sie das auch schrittweise durchziehen, aber am Ende auch das
    > Root-Zertifikat komplett erntfernt wird.. Und sogar noch mehr "Mozilla

    Genau das wurde nicht gemacht - es wurde REVOKED, etwas, das nach x509 und CA-Forum nur der Issuer machen darf... Aber den kleinen, feinen unterschied scheinst Du nicht verstehen zu wollen. Waere interessant, wieviele Zertifikate Du maintainen musst, oder ob sich Google so einen fu**** auch bei zB Symantec (die im gegensatz aktiv gefälschte zertifikate fuer google.com ausgestellt hatte) getraut haette, oder ob sowas nur bei den pösen Chinesen geht...

    > Also wer da nicht schnellstmöglich handelt und die Zertifikate austauscht,

    Ja logisch, denn warum sowas sauber planen, wenn die Zertifikate noch 18 Monate gültig sind und Google sagt, sie laufen weiterhin. Einfach mal machen, es geht ueberall nur um einen kleinen Ego-"Root"-Sörvar, niemand hatte EV Zertifikate von StartSSL, oder zB rechtliche vorgaben wie SOX, sowas mit einem definierten, *dokumentierten* Prozess zu machen, einfach make egozert.pem && make install reicht. Enterprise, buah, das ist das Ding aus Staa Tek...

  14. Re: Wosign / StartSSL

    Autor: Xiut 29.10.17 - 23:38

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und selbst Mozilla hat auch bereits 1 Woche davor (!!) angekündigt, dass
    > > sie das auch schrittweise durchziehen, aber am Ende auch das
    > > Root-Zertifikat komplett erntfernt wird.. Und sogar noch mehr "Mozilla
    >
    > Genau das wurde nicht gemacht - es wurde REVOKED, etwas, das nach x509 und
    > CA-Forum nur der Issuer machen darf... Aber den kleinen, feinen unterschied
    > scheinst Du nicht verstehen zu wollen. Waere interessant, wieviele
    > Zertifikate Du maintainen musst, oder ob sich Google so einen fu**** auch
    > bei zB Symantec (die im gegensatz aktiv gefälschte zertifikate fuer
    > google.com ausgestellt hatte) getraut haette, oder ob sowas nur bei den
    > pösen Chinesen geht...
    >
    > > Also wer da nicht schnellstmöglich handelt und die Zertifikate
    > austauscht,
    >
    > Ja logisch, denn warum sowas sauber planen, wenn die Zertifikate noch 18
    > Monate gültig sind und Google sagt, sie laufen weiterhin. Einfach mal
    > machen, es geht ueberall nur um einen kleinen Ego-"Root"-Sörvar, niemand
    > hatte EV Zertifikate von StartSSL, oder zB rechtliche vorgaben wie SOX,
    > sowas mit einem definierten, *dokumentierten* Prozess zu machen, einfach
    > make egozert.pem && make install reicht. Enterprise, buah, das ist das Ding
    > aus Staa Tek...

    Kann der Chrome oder Firefox überhaupt unter Windows Root-Zertifikate entfernen? Dürfte ja eigentlich nicht sein, weil das ja ein Sicherheitsrisiko wäre.. Genau so, wie den Browser mit Adminrechten zu nutzen...
    Also wie sollte der Chrome oder auch Firefox dann das Vertrauen 100% sicher entziehen?! Da ist es nur logisch, diese Zertifikate auf eine entsprechende Liste zu setzen. Oder wie soll Google das sonst umsetzen?!

    Und man konnte selbst auf Golem bereits am 10.7.2017 lesen, dass mitte September dann dieses Vertrauen komplett entzogen wird. Wo war da bitte nicht genügend Zeit, um die Umstellung der Zertifikate zu planen und umzusetzen?!?

    Fakt ist: Du scheinst es immer weiter aufgeschoben zu haben, weil du dir da irgendwas seltsames reininterpretiert hast.

    Und weil nicht gerade wenige Admins genau so rumtricksen wollen, anstatt einfach mal ihre Arbeit zu machen und entsprechend die Zertifikate umzustellen, muss Google usw. entsprechend hart durchgreifen...

    Oder willst du mir ernsthaft sagen, dass über 10 Monate nicht genügend Zeit war!?! Wenn ja, läuft da noch mehr mächtig schief...

  15. Re: Wosign / StartSSL

    Autor: jayrworthington 30.10.17 - 00:03

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > Kann der Chrome oder Firefox überhaupt unter Windows Root-Zertifikate
    > entfernen? Dürfte ja eigentlich nicht sein, weil das ja ein
    > Sicherheitsrisiko wäre.. Genau so, wie den Browser mit Adminrechten zu
    > nutzen...

    Genau der Punkt den ich seit 8h versuch zu machen, Google hat einen verdammten Hack gemacht, StartSSL Zertifikate werden mit "NET::ERR_CERT_REVOKED" abgeblockt, und nicht via Windows-Certstore behandelt!

    > Oder wie soll Google das sonst umsetzen?!

    "Das vertrauen entziehen", aus der Liste der Trusted CA's rausnehmen, das haben sie nicht gemacht, sondern einen Hack, der bei StartSSL zertifikate ssl quasi komplett aushebelt, und einfach nen error bringt, der nur kommen dürfte, wenn im Windows CertStore das Zertifikat als revoked (von hand oder von der CA-Eigenen CRL) markiert ist.

    > Fakt ist: Du scheinst es immer weiter aufgeschoben zu haben, weil du dir da
    > irgendwas seltsames reininterpretiert hast.

    Ich habe gar nix reininterpretiert. Auf die Frage vom Management, was "das denn bedeutet", war die Antwort, die Certs sollten ASAP ersetzt werden - mit der nachfrage, ob sie denn noch weiterfunktionieren, *was google immer mit JA beantwortet hat*, passierte das, was in jeder groesseren Firma (mit 200 Managern) passiert, "das kann dann also warten, plant das ein wenn die Zertifikate eh ersetzt werden müssen".

    > Oder willst du mir ernsthaft sagen, dass über 10 Monate nicht genügend Zeit
    > war!?! Wenn ja, läuft da noch mehr mächtig schief...

    Verstehst Du ECHT nicht, was ich sagen will??? Die migration weg von StartSSL zertifikaten zu planen dauert in jeder Firma eine weile, wir reden hier von gut 500 *internen* zertifikaten, bei denen es keinen Grund gab, diese ***vorzeitig*** zu ersetzen, wenn sie a) noch bis Juli~August 2018 gueltig sind, und b) laut google auch so lange gueltig bleiben sollten; und bis vor einer Chrome Version ging man davon aus, dass danach einfach das zertifikat nichtmehr trusted, und nicht zurueckgezogen gelten würde.

    Konsequenz aus dem Bullshit ueberigens hier: Chrome wurde vor dem Rollout der neuen Version aus dem internen Software-Katalog gestrichen, von allen Maschienen deinstalliert - jetzt haben die armen Schweine hier, die keine Admin-Rechte haben, noch IE, weil das Management nicht gewillt war, ne hau-ruck-uebung zu machen die Geld (fuer neue Zertifikate und Manpower) kostet, fuer interne Services, die mit IE noch problemlos laufen (dort funktionert das Cert-managment wie vorgesehen und kann via GPO gesteuert werden - obwohl auch MS die "distrusted" hat)...

  16. Re: Wosign / StartSSL

    Autor: Apfelbrot 30.10.17 - 01:14

    mimimimimimi

  17. Re: Wosign / StartSSL

    Autor: Xiut 30.10.17 - 08:57

    jayrworthington schrieb:
    --------------------------------------------------------------------------------
    > Xiut schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Kann der Chrome oder Firefox überhaupt unter Windows Root-Zertifikate
    > > entfernen? Dürfte ja eigentlich nicht sein, weil das ja ein
    > > Sicherheitsrisiko wäre.. Genau so, wie den Browser mit Adminrechten zu
    > > nutzen...
    >
    > Genau der Punkt den ich seit 8h versuch zu machen, Google hat einen
    > verdammten Hack gemacht, StartSSL Zertifikate werden mit
    > "NET::ERR_CERT_REVOKED" abgeblockt, und nicht via Windows-Certstore
    > behandelt!
    >
    > > Oder wie soll Google das sonst umsetzen?!
    >
    > "Das vertrauen entziehen", aus der Liste der Trusted CA's rausnehmen, das
    > haben sie nicht gemacht, sondern einen Hack, der bei StartSSL zertifikate
    > ssl quasi komplett aushebelt, und einfach nen error bringt, der nur kommen
    > dürfte, wenn im Windows CertStore das Zertifikat als revoked (von hand oder
    > von der CA-Eigenen CRL) markiert ist.
    >
    > > Fakt ist: Du scheinst es immer weiter aufgeschoben zu haben, weil du dir
    > da
    > > irgendwas seltsames reininterpretiert hast.
    >
    > Ich habe gar nix reininterpretiert. Auf die Frage vom Management, was "das
    > denn bedeutet", war die Antwort, die Certs sollten ASAP ersetzt werden -
    > mit der nachfrage, ob sie denn noch weiterfunktionieren, *was google immer
    > mit JA beantwortet hat*, passierte das, was in jeder groesseren Firma (mit
    > 200 Managern) passiert, "das kann dann also warten, plant das ein wenn die
    > Zertifikate eh ersetzt werden müssen".
    >
    > > Oder willst du mir ernsthaft sagen, dass über 10 Monate nicht genügend
    > Zeit
    > > war!?! Wenn ja, läuft da noch mehr mächtig schief...
    >
    > Verstehst Du ECHT nicht, was ich sagen will??? Die migration weg von
    > StartSSL zertifikaten zu planen dauert in jeder Firma eine weile, wir reden
    > hier von gut 500 *internen* zertifikaten, bei denen es keinen Grund gab,
    > diese ***vorzeitig*** zu ersetzen, wenn sie a) noch bis Juli~August 2018
    > gueltig sind, und b) laut google auch so lange gueltig bleiben sollten; und
    > bis vor einer Chrome Version ging man davon aus, dass danach einfach das
    > zertifikat nichtmehr trusted, und nicht zurueckgezogen gelten würde.
    >
    > Konsequenz aus dem Bullshit ueberigens hier: Chrome wurde vor dem Rollout
    > der neuen Version aus dem internen Software-Katalog gestrichen, von allen
    > Maschienen deinstalliert - jetzt haben die armen Schweine hier, die keine
    > Admin-Rechte haben, noch IE, weil das Management nicht gewillt war, ne
    > hau-ruck-uebung zu machen die Geld (fuer neue Zertifikate und Manpower)
    > kostet, fuer interne Services, die mit IE noch problemlos laufen (dort
    > funktionert das Cert-managment wie vorgesehen und kann via GPO gesteuert
    > werden - obwohl auch MS die "distrusted" hat)...

    Ich verstehe, was du sagen willst, aber zum einen zeigt das eher, dass da ganz klar Google nicht verstanden wurde, weswegen offensichtlich Dinge einfach mal angenommen wurden, die so nicht angekündigt wurden...

    Zudem habe ich immer noch keine Antwort darauf, wie der Chrome effektiv das Vertrauen des Root Zertifikats entziehen kann, wenn er doch eigentlich nicht das Root-Zertifikat einfach löschen können dürfte...
    Entsprechend mussten die das auf ihre eigene Liste setzen.
    Und wieso sollte das Microsoft machen dürfen und Google nicht?! Genau so wie Microsoft das für sich selbt entscheiden darf, um ihre Nutzer davor zu schützen, darf Google das genau so... Und Google ist auch selbst eine CA und so weit ich weiß, dürften CAs Zeritifkate entsprechend revoken... Oder zeig mir doch mal den Ausschnitt der Regeln, die genau das Google verbieten. Immerhin hast du das ja behauptet...

    Und wie gesagt: 10 Monate seit der offiziellen Ankündigung und bereits vorher wurden diese Schritte offen diskutiert. Da hätte man auch bei 500 Zertifikaten genügend Zeit gehabt, das zu planen..

    Man sollte seinen Fehler irgendwann auch einfach mal einsehen können und nicht immer auf andere abwelzen. Ihr habt es einfach verpennt, weil ihr etwas angenommen habt, was so nicht angekündigt wurde. Fertig. Dumm gelaufen, aber alles andere als "gebastel" oder ähnliches seitens Google, sondern ein lange angekündigter Schritt, der sich auch schon bereits noch länger angekündigt hat..
    Kleiner Tipp: Man hätte auch einfach in den entsprechenden Gruppen nachfragen können. So konnte man auch Feedback zu dem Plan seitens Mozilla geben und hätte da sicher auch so etwas genauer nachfragen können, was insgesammt keine Stunde gedauert hätte...
    https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/BV5XyFJLnQM%5B1-25%5D

    Aber ok.. es sind ja immer die anderen Schuld.. Also ruhig weiter mimimi.. :D

  18. Re: Wosign / StartSSL

    Autor: jayrworthington 30.10.17 - 10:11

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    >
    > Und wie gesagt: 10 Monate seit der offiziellen Ankündigung und bereits
    > vorher wurden diese Schritte offen diskutiert. Da hätte man auch bei 500
    > Zertifikaten genügend Zeit gehabt, das zu planen..

    Is ok - Du verstehst solche Organisatorischen Probleme *wirklich* nicht.

    > Kleiner Tipp: Man hätte auch einfach in den entsprechenden Gruppen
    > nachfragen können. So konnte man auch Feedback zu dem Plan seitens Mozilla
    > geben und hätte da sicher auch so etwas genauer nachfragen können, was
    > insgesammt keine Stunde gedauert hätte...

    Das hat Legal gemacht, aber wir sind ja hier alles nur Amateure. Zum alle 400 der Solaris&Linux Server neu zu "verzertifikaten", brauche ich mit eigenen Tools unter einem Tag. Es ist und war nie ein technisches Problem...

    /eol



    1 mal bearbeitet, zuletzt am 30.10.17 10:12 durch jayrworthington.

  19. Re: Wosign / StartSSL

    Autor: My1 30.10.17 - 10:38

    Xiut schrieb:
    --------------------------------------------------------------------------------
    > jayrworthington schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die sind leider nicht aus Chrom "rausgeflogen", sondern wurden intern
    > auf
    > > Revoked gesetzt, es kommt also nicht einfach eine CA-Unbekannt Warnung
    > (die
    > > man skippen kann), sondern "Ungueltiges Zertifikat, kein Zugriff". Es
    > gibt
    > > mindestens mit dem aktuellen Chromium keine moeglichkeit mehr, auf so
    > einen
    > > Server zuzugreifen, solchen Mist bin ich mir sonst nur von Mozilla
    > gewohnt
    > > :-@
    >
    > Kann man nicht wie bei einem ungültigen Zertifikat einfach unten auf
    > "Erweitert" klicken und dort dann auf "Weiter zu XY (unsicher)" klicken?

    ungültig (bspw weil zu alt falsche domain etc.) ja, revoked (also wiederrufen) nein

    Asperger inside(tm)

  20. Re: Wosign / StartSSL

    Autor: My1 30.10.17 - 10:39

    ConiKost schrieb:
    --------------------------------------------------------------------------------
    > Zumindest "badidea" einfach frei eintippen geht immer im Chrome, dann lädt
    > er die Seite.

    der ist mir neu, nice to know. danke.

    Asperger inside(tm)

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Vorwerk & Co. KG, Wuppertal
  2. Stiftung Kirchliches Rechenzentrum Südwestdeutschland, Eggenstein-Leopoldshafen
  3. Elektrobit Automotive GmbH, Ulm
  4. WEMAG AG, Schwerin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

Jobs: Spielebranche sucht Entwickler (m/w/d)
Jobs
Spielebranche sucht Entwickler (m/w/d)

Die Hälfte aller Gamer ist weiblich. An der Entwicklung von Spielen sind aber nach wie vor deutlich weniger Frauen beteiligt.
Von Daniel Ziegener

  1. Medizinsoftware Forscher finden "rassistische Vorurteile" in Algorithmus
  2. Mordhau Toxische Spieler und Filter für Frauenhasser

  1. Half-Life: Testspieler schaffen 2 bis 3 Stunden Alyx am Stück
    Half-Life
    Testspieler schaffen 2 bis 3 Stunden Alyx am Stück

    Virtual Reality kann anstrengend sein, das nur für VR geplante Half-Life Alyx soll aber Spaß machen - so viel, dass sich Spieler im Versuchslabor länger damit beschäftigen als vom Entwickler erwartet. Valve hat noch ein paar weitere neue Informationen zum Gameplay veröffentlicht.

  2. Soziales Netzwerk: Medienanstalt geht wegen Pornografie gegen Twitter vor
    Soziales Netzwerk
    Medienanstalt geht wegen Pornografie gegen Twitter vor

    Laut der Medienanstalt Hamburg/Schleswig-Holstein macht sich Twitter strafbar, indem es Profile nicht sperrt oder löscht, die pornografisches Material verbreiten. Ein entsprechendes Verfahren ist eingeleitet worden, es drohen ein Bußgeld und eine Untersagung.

  3. The Eliminator: Forza Horizon 4 bekommt Battle-Royale-Modus
    The Eliminator
    Forza Horizon 4 bekommt Battle-Royale-Modus

    Bis zu 72 Fahrer können an einem neuen Battle-Royale-Modus namens The Eliminator teilnehmen, den Microsoft kostenlos für das Rennspiel Forza Horizon 4 anbietet. Einzige Regel: möglichst lange überleben.


  1. 17:28

  2. 16:54

  3. 16:26

  4. 16:03

  5. 15:17

  6. 15:00

  7. 14:42

  8. 14:18