Dies ist keine sichere Verbindung (eigene Seite)

[Riseofdead]

Hallo

Ich hab einen eigenen Homeserver mit Apache2 und OpenSSL. Ich hab alles gemacht damit Apache eine https:// Verbindung aufmachen kann. Jedoch hab ich 2 Probleme.

wenn ich www.meine-domain.de eingib, kommt standardmäßig die Seite mit http://
Wenn man sich bei Google oder sonst wo anmeldet, kommt man ja standardmäßig zu einer https:// Seite.

Wenn ich https://www.meine-domain.de aufruf, kommt folgende Fehlermeldung:

Spoiler

Dies ist keine sichere Verbindung
Unbefugte Dritte könnten versuchen, Ihre Informationen von www.meine-domain.de zu stehlen, z. B. Passwörter, Nachrichten oder Kreditkartendaten. Dieser Server konnte nicht beweisen, dass er www.meine-domain.at ist. Sein Sicherheitszertifikat wird vom Betriebssystem Ihres Computers als nicht vertrauenswürdig eingestuft. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der Ihre Verbindung abfängt.

Das Zertifikat MUSS vertrauenswürdig sein weil ich es selbst auf meinem Linux Server erstellt hab. Die Zertifikatinformationen sagen ja auch dass das Zertifikat für meine Domain ist. Auch die Gültigkeitsdauer stimmt.

Beim Internet Explorer kommt eine ähnliche Meldung:

Spoiler

Es besteht ein Problem mit dem Sicherheitszertifikat der Website.








Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.





Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.

Es wird empfohlen, dass Sie die Webseite schließen und nicht zu dieser Website wechseln.


Symbol für empfohlenKlicken Sie hier, um diese Webseite zu schließen.


Symbol für nicht empfohlenLaden dieser Website fortsetzen (nicht empfohlen).



Weitere Informationen Weitere Informationen



•Wenn Sie zu dieser durch einen Link weitergeleitet wurden, dann überprüfen Sie die Websiteadresse in der Adressleiste, um sicherzustellen, dass dies die erwartete Adresse ist.
•Wenn Sie zu Websites wie https://example.com wechseln, versuchen Sie "www" zu der Adresse hinzuzufügen (https://www.example.com).


Weitere Informationen erhalten Sie unter "Zertifikatfehler" in der Internet Explorer-Hilfe.

Ich kann daher den Browser ausschließen. Auch ein Freund der meine Seite testweise ansurfte bekam diese Meldung. Es muss also an meinem Server liegen. Was muss ich da tun?

 

[KeepXtreme]

du verwendest ein selbstsigniertes Zertifikat (auf DEINEM Server erstellt) - so funktioniert das aber nicht: Normalerweise stellst man nur einen Request und lässt den von einem anerkannten Dienstleister signieren (erhält also das öffentliche Zertifikat). Das bindet man da zusammen mit den ev. nötigen Zwischenzertifikaten im Webserver ein

 

[Madman1209]

Hi,

wenn ich www.meine-domain.de eingib, kommt standardmäßig die Seite mit http://

Bitte sehr

Das Zertifikat MUSS vertrauenswürdig sein weil ich es selbst auf meinem Linux Server erstellt hab

Ähm - dir ist scheinbar nicht klar, wie das mit Zertifikaten funktioniert. Wäre ein Zertifikat vertrauenswürdig, nur weil es jeder selbst erstellt könnte man sich das gleich komplett sparen! Ein vertrauenswürdiges, valides Zertifikat wird von einer Zertifikatsstelle ausgestellt, nicht von dir selbst!

VG,
Mad

 

[holdes]

Wenn du das SSL Zertifikat selbst erzeugt hast und nicht von einer offiziell anerkannten Stelle dann wird diesem grundsätzlich nie vertraut außer du importierst entsprechende Zertifikate in den Vertrauenswürdigen Speicher (zumindest bei Windows der Fall). Es kann sein das Chrome seine eigenen Prüfstellen eingetragen hat und ein eigenes Zertifikat niemals als sicher anerkennt aber das wird sich sicher herausfinden lassen.

 

[Tritze1693]

Hi,

wie bereits beschrieben brauchst du ein gültiges Zertifikat. Was nun gültig ist hängt von dir ab. Wenn die Seite nur für dich als "sicher" dargestellt werden soll reicht ein self-signed-certificate. Wenn es auch für andere passen soll müssen die entweder, wie du im übrigen auch, das Zertifikat in ihrem lokalen Zertifikatspeicher als vertrauenswürdig ablegen, oder du besorgst dir ein Zertifikat eines Anbieters der im Allgemeinen als sicher eingestuft wird.
In jedem Fall muss der richtige Name deiner Domain im Zertifikat stehen(Also der Name über welchen du zugreifst.)

Zum Thema Zertifikat kaufen:
Hochwertige SSL/TLS Zertifikate haben ihren Preis, für private oder kleine Zwecke tut es auch ein gratis Zertifikat z.B. von StartSSL.com. Voraussetzung ist nur das du die entsprechende 1.LD besitzt.

Gruß Tritze

 

[Kyze]

OT: du hast im ersten Spoiler vergessen an der ersten Stelle den Link zu "zensieren", da ist noch die richtige Domain hitnerlegt.

 

[HominiLupus]

JEDES Zertifikat wird auf dem eigenen Server erzeugt. Wenn nicht, könnte man sich HTTPS komplett sparen. Weiß das denn keiner der Poster die antworten hier?
Ein Zertifikat wird woanders SIGNIERT damit es "internetweit" bzw. eben in den meisten Browswern als "vertrauenswürdig" gilt.

 

[Madman1209]

Hi,

Weiß das denn keiner der Poster die antworten hier?

Doch, aber so wie es der TE formuliert ist es eben NICHT signiert.

VG,
Mad

 

[Haruspex]

Und auf genau diesen Umstand wird in der Fehlermeldung selbst in der Regel auch hingewiesen.

 

[Daaron]

JEDES Zertifikat wird auf dem eigenen Server erzeugt. Wenn nicht, könnte man sich HTTPS komplett sparen. Weiß das denn keiner der Poster die antworten hier?

Ja, du KANNST das Zertifikat bei dir erstellen und dann mit dem resultierenden Signing Request zu einer Cert-Stelle rennen. Ich bin mir aber ziemlich sicher, dass man z.B. bei StartSSL diesen Schritt auch umgehen kann und man direkt bei denen das komplette Cert kreieren kann, inkl. Private Key.

Außerdem spielt das hier keine Rolle. Der TE hat ein Self Signed (Snakeoil) Cert. Das wird natürlich nie vom Browser anerkannt, außer er importiert es manuell als "vertrauenswürdig". Wie genau dieser Import funktioniert, ist vom Browser und Betriebssystem abhängig.

Natürlich könnte der TE auch aus seinem Self Signed einen CSR erzeugen und damit bei Gratis-Anbietern wie StartSSL anklopfen.

 

[Piktogramm]

[...]
Außerdem spielt das hier keine Rolle. Der TE hat ein Self Signed (Snakeoil) Cert.
[...]

Öhm, selbst erstellte Zertifikate erlauben eine (wenn richtig umgesetzt) sichere Transportverschlüsselung und sind damit kein Schlangenöl.

Als Schlangenöl wird normalerweise das System der Zertifizierungsstellen bezeichnet. Denn um ein als Zertifikat als vertrauenswürdig signiert zu bekommen muss man den Zertifizierungsstellen meist nur Geld in den Rachen werfen und eine eher lächerliche Prüfung über sich ergehen lassen (oder einfach Zertifikate aus Insolvenzmassen kaufen). Entsprechend wird an dieser Stelle Geld verlang für eine "Medizin" deren Wirkung mehr Wunschdenken als Tatsache ist -> Schlangenöl

 

[Daaron]

sudo make-ssl-cert generate-default-snakeoil --force-overwrite

Also: Doch Snakeoil!

 

[Riseofdead]

ok muss man bei startssl was beachten? Da steht ja in den FAQ das ich per Post was schicken soll in den FAQ. Kann man bei der Zertifikatserstellung was schief machen? Irgendwie ist das sehr kompliziert. Was ist wenn ich meine Homepage nur mit http betreibe? Ich mein owncloud wird dann immer jammern aber wenn ich kein https hab, wer kann dann Passwörter, Daten und co. abfangen? Ist https jetzt eigentlich essentiell wichtig oder ist das nur ein must have?

 

[Daaron]

ok muss man bei startssl was beachten?

Nein, außer du stellst dich wirklich unglaublich dämlich an. Du meldest dich an und folgst dem (sinnbildlichen) großen roten Pfeil zu den Gratis-Zertifikat. Ideal ist, wenn du auf deinem Rechner einen CSR (Certificate Signing Request) erstellst, das ist insgesamt sicherer und du bestimmst die Verschlüsselungsstärke des Cert. Dann musst du noch deine Domain-Inhaberschaft per Mail validieren lassen. Kein Mailkonto, kein StartSSL.

Was ist wenn ich meine Homepage nur mit http betreibe? Ich mein owncloud wird dann immer jammern aber wenn ich kein https hab, wer kann dann Passwörter, Daten und co. abfangen?

Überspitzt gesagt: Jeder.
Detailliert: Jede Person, die Zugriff auf deine Netzwerkverbindungen hat. Vor allem in einem nicht zu 100% von dir kontrollierten Netzwerk (z.B. öffentliches WLAN, Büro,...) können halbwegs versierte Personen deine Verbindung abhören. Sie kennen also dein OwnCloud - Passwort. Willst du, dass sie dein Passwort kennen?

Ist https jetzt eigentlich essentiell wichtig oder ist das nur ein must have?

Ähm... "must have" ist etwas, dass man haben muss. Also ist es essentiell wichtig...

Und ja, eine verschlüsselte Verbindung IST zwingend notwendig, sobald du sensible Daten (z.B. Passwörter, Mails, Rechnungen,...) über ein Netzwerk übermittelst, dass du nicht zu 100% kontrollieren kannst.

 

[Riseofdead]

so hab von startssl ein Zertifikat bekommen. Hab jetzt eine .cer Datei und eine .pfx Datei. Welche Datei brauch ich jetzt und was ist der Unterschied zwischen .cer und crt? Hab gegoogled und bekam Ergebnisse von Elster Steuererklärung.

Ergänzung (8. März 2015)

ok das Zertifikat war nur zum Einloggen auf der Seite von startssl xD Habs jetzt geschafft. Hab einfach alles was ich bekommen hab in den mycert Ordner von Apache2 kopiert xD

Hab jetzt insgesamt mit allem folgende Dateien:

• server.cer
• server.pfx
• ssl.crt
• ssl.key
• ca.pem
• sub.class1.server.ca.pem

hab ich damit alle Dateien oder muss ich da noch was sichern?

 

[Daaron]

Was die beiden "server"-Dateien sind ist mir ein wenig unklar, sowas hab ich irgendwie noch nie gesehen. Der Rest ist klar. Was du dir merken musst:
Die .key darf NIEMAND jemals zu Gesicht bekommen. Die muss in einen Ordner, auf den nur der Administrator und der Apache Zugriff haben. Ich hoffe mal, der Key ist bereits entschlüsselt. Wenn nicht, dann wirst du bei jedem Apache-Neustart (z.B. nach nem Sicherheitsupdate) nach einem Passwort gefragt.

 

[Riseofdead]

ok also die Dateien waren nur erstmal zum anmelden. Jetzt hab ich ein Zertifikat bekommen und gespeichert. Es wird auch von den anderen Browsern erkannt, trotzdem ist die Verbindung noch nicht vertrauenswürdig. Nur mein PC vertraut meiner Seite.

Ich hab mal mein Zertifikat mit dem von Google verglichen.

Mein Zertifikat: "Garantiert die Identität eines Remotecomputers"

Zertifikat von Google:

"Garantiert die Identität eines Remotecomputers
Garantiert dem Remotecomputer Ihre Identität
1.3.6.1.4.1.11129.2.5.1"

apache2 hab ich auch schon neu gestartet und reloadet

 

[Daaron]

https://www.ssllabs.com/ssltest/analyze.html
Eintragen & gucken, was falsch läuft. Häkchen unter dem Textfeld nicht vergessen.

 

[Riseofdead]

das ist rausgekommen. Trusted YES

 

[Daaron]

Du hast die Cert Chain versaut. Die StartSSL - Zertifikate sind nicht allein "lebensfähig", viele Clients erkennen StartSSL nicht als voll zulässige CA an. Du brauchst deren Chain. Steht auch alles in deren Guides, wie was und warum.

Außerdem: Beheb die POODLE-Geschichte und entsorg RC4.

Für Apache 2.2 wäre das in der ssl.conf folgender Kram. Für Apache 2.4 sollte es ähnlich aussehen. Hab grad kein Beispiel zur Hand.

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4

SSLProtocol all -SSLv2 -SSLv3