1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sectigo: Abgelaufenes Root-Zertifikat…

Danke

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Danke

    Autor: simonheinrich 02.06.20 - 10:44

    Ich war eben schon wild am Suchen, wo die Ursache für diverse Ausfälle liegt. Browserbasierte Aufrufe oder curl von localhost funktioniert ohne irgendwelche Probleme. Andere Webserver konnten meine Domains mit Sectigo Zertifikat aber nicht mehr erreichen.

    Quick & Dirty workaround für curl: CURLOPT_SSL_VERIFYPEER=false und CURLOPT_SSL_VERIFYHOST=false.

  2. Re: Danke

    Autor: hab (Golem.de) 02.06.20 - 11:02

    Das möchte ich jetzt aber hier nicht unwidersprochen stehen lassen: Der "Quick and Ditry"-Workaround führt zwar dazu dass eine Verbindung wieder funktioniert, aber eben auch dazu dass Zertifikate überhaupt nicht mehr geprüft werden und damit die komplette Sicherheit von TLS abgeschaltet wird.

    Bitte nutzt nicht solche Workarounds sondern entfernt das überschüssige Zwischenzertifikat aus der Chain, damit ist das Problem auch mit alten Clients ebenfalls behoben - ohne die Sicherheit abzuschalten.

  3. Re: Danke

    Autor: ThiefMaster 02.06.20 - 12:28

    Der Tip ist zwar richtig, aber die einzige Sicherheit die du durchs Abschalten der Zertifikatprüfung verlierst ist der Schutz vor einem aktiven Man In The Middle. Mitlesen oder entschlüsseln kann die Daten dennoch niemand.

  4. Re: Danke

    Autor: gaym0r 02.06.20 - 14:29

    ThiefMaster schrieb:
    --------------------------------------------------------------------------------
    > Der Tip ist zwar richtig, aber die einzige Sicherheit die du durchs
    > Abschalten der Zertifikatprüfung verlierst ist der Schutz vor einem aktiven
    > Man In The Middle. Mitlesen oder entschlüsseln kann die Daten dennoch
    > niemand.

    Mitlesen kann man so oder so nur bei einem MitM - wennDu davor keinen Schutz mehr hast....?
    irgendwie verstehe ich deinen Satz nicht so recht.

  5. Re: Danke

    Autor: Apollo13 02.06.20 - 15:13

    Stimmt schon, aber ums mal auf mein Problem mit Evolution umzumünzen: Da kontrolliere leider nicht ich den Mailserver. Und die Administratoren sagen einfach, dass es mit Outlook ja funktioniert, also nichts zu tun ist. Das will (und kann ich unter Linux) aber nicht nutzen -> ich muss dem "abgelaufenen" Zertifikat trotzdem vertrauen.

    Ist zwar zugegebenermaßen nicht so schlimm wie einfach jedes Zertifikat zu akzeptieren, weil dieses Zertfikat gepinned wird - aber es geht in die gleiche Richtung...

    (Der Workaround, das AddTrust-Wurzelzertifikat zu löschen, klappt bei mir übrigens nicht.)

  6. Re: Danke

    Autor: simonheinrich 02.06.20 - 17:36

    Ich habe leider keinen Zugriff auf die Zertifikatskette. Um mich damit gar nicht beschäftigen zu müssen, nutze ich managed Server. Nur scheinbar hat jeder große Provider in DE hier etwas versäumt. Deswegen bleibt mir vorerst nur dieser Workaround, wenn der Kunde keine leere Seite haben möchte :-)

  7. Re: Danke

    Autor: Alfrett 03.06.20 - 13:29

    Na sagen wir es mal so, wenn die Hälfte aller externen Dienstleister-Websites nicht mehr erreichbar sind, weil FortiGate meint sie blockieren zu müssen, weil die Leute da auch nicht in die Pötte kommen, dann schaltet man in den entsprechenden Policies zähneknirschend von proxy-based auf flow-based um und schon flutscht es wieder, (auch wenn man dadurch einige andere schöne Sicherheitsfunktionen verliert). Alternativ wäre auch hier gewesen invalide Zertifikate zuzulassen, was aber ein absolutes no go ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über duerenhoff GmbH, Raum Wuppertal
  2. NOVO Data Solutions GmbH & Co. KG, Bamberg
  3. über duerenhoff GmbH, Raum Pfungstadt
  4. Universitätsklinikum Frankfurt, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. und Assassin's Creed Valhalla gratis erhalten
  2. 994,58€ (Bestpreis!)
  3. 1.656,19€ (Bestpreis!)
  4. (aktuell u. a. WD Blue SN550 NVMe 1 TB für 112,10€, Crucial MX500 1TB SSD für 98,45€, Seagate...


Haben wir etwas übersehen?

E-Mail an news@golem.de