Tijd voor https ?

ITnetadmin
Elite Poster
Elite Poster
Berichten: 5888
Lid geworden op: 28 Jan 2012
Bedankt: 442 keer
Recent bedankt: 9 keer
Uitgedeelde bedankjes: 82 keer

Re: Tijd voor https ?

Berichtdoor ITnetadmin » 23 Sep 2015, 22:16

VOiD schreef:Staat op de planning maar momenteel kunnen we niet upgraden omwille van een bug in de firewall firmware (en ik spreek hier over een van de meest geavanceerde firewall leveranciers ter wereld. Voor de prijs van dat ding koop je meerdere Tesla's :)).
In een enterprise omgeving is het alles behalve evident om op de meest recente versies te draaien. Veel userbase gebruikers willen dit maar niet snappen blijkbaar.



Er is uiteraard een verschil tussen "meezijn om mee te zijn" en "meezijn omdat je anders uit de boot valt".
Dat eerste gebeurt nooit in een enterprise, en da's maar goed ook, want de miserie zou niet te overzien zijn.
Maar als dat eerste dat laatste wordt, begin je in je enterprise toch met een probleem te zitten. Zeker als het om een security upgrade draait.

Om effe te overdrijven, "niet meezijn" was geen excuus toen de heartbleed bug in openssl ontdekt werd. Soms worden bepaalde upgrades prioritair overnight.

Maar het is inderdaad altijd een huzarenstukje goochelen om alles een beetje in mekaar te doen passen, en dan worden er prioriteiten gesteld; surfen naar websites is daar dan zelden bij (tenzij het een issue wordt naar de core business toe).

[Afbeelding Post made via mobile device ]

[Afbeelding Post made via mobile device ]

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 24 Sep 2015, 11:06

VOiD schreef:Staat op de planning maar momenteel kunnen we niet upgraden omwille van een bug in de firewall firmware (en ik spreek hier over een van de meest geavanceerde firewall leveranciers ter wereld. Voor de prijs van dat ding koop je meerdere Tesla's :)).


Als je firewall niet overweg kan met TLS 1.2 dan zou ik me ernstige bedenkingen maken bij de leverancier... ongeacht hoeveel Tesla's je ervoor kan kopen !

VOiD schreef:In een enterprise omgeving is het alles behalve evident om op de meest recente versies te draaien. Veel userbase gebruikers willen dit maar niet snappen blijkbaar.


Evident... het is maar hoe je het bekijkt... als je je bedrijf vol stopt met applicaties die zich niet aan standaarden houden en allerlei rariteiten bevatten, tja dan is het niet evident maar dan moet je in eigen boezem kijken !

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15572
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 501 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 442 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 22 Sep 2016, 21:09

We zijn een jaartje verder en Userbase heeft net een nieuw SSL-certificaatje aangemeten gekregen, dus als je net 10 sec downtime hebt gezien was dat m'n Apache herstart :-)

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 23 Sep 2016, 07:04

meon schreef:We zijn een jaartje verder en Userbase heeft net een nieuw SSL-certificaatje aangemeten gekregen, dus als je net 10 sec downtime hebt gezien was dat m'n Apache herstart :-)


Het certificaat is er nu wel, maar laat ons zeggen dat er nog werk aan de winkel is voor de beoogde doelstelling ook bereikt is. :|

Probleem is vooral de server die uitwisseling van zwakke DH parameters toestaat en zo vulnerable is voor Logjam, en daarnaast ook geen ondersteuning voor Forward Secrecy. Dat zijn wel de prioritaire zaken op dit ogenblik. Daarna kan dan eventueel gezien worden naar de headers die de server meestuurt.

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15572
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 501 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 442 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 23 Sep 2016, 07:09

Qualys gaf een B score. Ik moet zeggen dat ik die (her)configuratie niet zelf aandurf, I'm more an IIS-guy dan Apache. Maar ik weet 't.

Verstuurd vanaf mijn SM-G930F met Tapatalk

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 2505
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 305 keer
Uitgedeelde bedankjes: 119 keer
Contact:

Re: Tijd voor https ?

Berichtdoor Tim.Bracquez » 23 Sep 2016, 08:42

@meon: Gooi er https://www.cloudflare.com/ voor en zet gratis SSL aan. Gelijk caching van alles, die mannen doen het goed!
Tim Bracquez, tim@fusa.be, https://www.fusa.is
Dedicated Servers - https://fusa.is/offer

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 2830
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 95 keer
Uitgedeelde bedankjes: 36 keer
Contact:

Re: Tijd voor https ?

Berichtdoor Sasuke » 23 Sep 2016, 08:56

Tim.Bracquez schreef:@meon: Gooi er https://www.cloudflare.com/ voor en zet gratis SSL aan. Gelijk caching van alles, die mannen doen het goed!


Seconded ... gebruik dat zelf ook en zie het meer en meer, ook voor high-Traffic websites !
Logic - The art of being wrong with confidence !
Afbeelding

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 27 Sep 2016, 16:24

Heads up, Userbase gebruikt een TLS certificaat van StartCom.

Mozilla heeft voorgesteld om zowel het Chinese WoSign als StartCom (eigendom van WoSign) uit de lijst van trusted root certificates te smijten, wegens diverse en significante vormen van bedrog en foefelarij met certificaten en met weinig zicht op beterschap.

Het is nog niet zover, maar het lijkt me toch aangeraden om af te stappen van WoSign/StartCom. Let's Encrypt is bijvoorbeeld een mooi gratis alternatief, dat op een Westerse manier beheerd wordt, met veel transparantie en zonder het bedrog en de geheimdoenerij van WoSign.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 29 Sep 2016, 11:47

The Let’s Encrypt root key (ISRG Root X1) will be trusted by default in Firefox 50, which is scheduled to ship in Q4 2016.


Blijkbaar ben je voorlopig nog beter af met StartCom dan Let's Encrypt als het over Mozilla gaat.

tb0ne
Elite Poster
Elite Poster
Berichten: 764
Lid geworden op: 24 Aug 2012
Bedankt: 53 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 22 keer

Re: Tijd voor https ?

Berichtdoor tb0ne » 29 Sep 2016, 15:02

Huidige zijn toch gecrossigned dus eigenlijk geen probleem?

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 29 Sep 2016, 21:49

r2504 schreef:
The Let’s Encrypt root key (ISRG Root X1) will be trusted by default in Firefox 50, which is scheduled to ship in Q4 2016.


Blijkbaar ben je voorlopig nog beter af met StartCom dan Let's Encrypt als het over Mozilla gaat.


Zoals tb0ne hierboven al aanhaalt, huidige certs van Let's Encrypt zijn cross-signed door IdenTrust met een root die wel al in FireFox zit.

Zou anders wel straf zijn, Mozilla is immers een hoofdsponsor van Let's Encrypt.

Dat er tijd over gaat alvorens browsers een nieuwe root willen aanvaarden is normaal (WoSign historie illustreert waarom), en Mozilla doet er goed aan om "hun" Let's Encrypt ook niet voor te trekken op anderen op dat vlak.

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 26 Okt 2016, 11:11

CCatalyst schreef:Heads up, Userbase gebruikt een TLS certificaat van StartCom.

...



En het is van dat. WoSign en StartCom vliegen uit Mozilla. https://blog.mozilla.org/security/2016/ ... tificates/

Enkel nieuwe certs worden niet meer vertrouwd, dus met de huidige cert hier ben je nog goed tot de vervaldatum, 22 september 2019 :-)

Tenzij dat WoSign een andere vervaldatum hanteert en het certificaat eerder intrekt.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 26 Okt 2016, 18:05

CCatalyst schreef:En het is van dat. WoSign en StartCom vliegen uit Mozilla. https://blog.mozilla.org/security/2016/ ... tificates/


Ik heb gisteren een nieuwe certificaat aangemaakt bij StartSSL en kreeg de volgende melding;

Welcome!
Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 26 Okt 2016, 22:56

r2504 schreef:
Ik heb gisteren een nieuwe certificaat aangemaakt bij StartSSL en kreeg de volgende melding;

Welcome!
Mozilla decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla.


Jep, de Chinezen en hun beloftes vertrouwen, WCGW?

Smijt dat certificaat maar weg en neem een Let's Encrypt cert in de plaats. Lees de hele achtergrond nog eens voor het waarom. WoSign zijn foefelaars.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 27 Okt 2016, 07:21

CCatalyst schreef:Smijt dat certificaat maar weg en neem een Let's Encrypt cert in de plaats.


Moest Let's Encrypt toelaten dat je gewoon een CSR opgaf en je meteen je certificaat kreeg... nee, zo'n bizarre ACME tool :bang:

road rebel
Premium Member
Premium Member
Berichten: 469
Lid geworden op: 24 Jun 2015
Bedankt: 37 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 83 keer

Re: Tijd voor https ?

Berichtdoor road rebel » 27 Okt 2016, 07:32

Op een eigen kleinschalig website met vragenlijsten (limesurvey) ben ik ook nog met http. Wat moet ik doen om over te schakelen op https?

freggy
Member
Member
Berichten: 82
Lid geworden op: 09 Sep 2011
Bedankt: 15 keer
Uitgedeelde bedankjes: 3 keer

Re: Tijd voor https ?

Berichtdoor freggy » 27 Okt 2016, 08:07

r2504 schreef:Moest Let's Encrypt toelaten dat je gewoon een CSR opgaf en je meteen je certificaat kreeg... nee, zo'n bizarre ACME tool :bang:


En hoe moet Let's Enrypt dan dan automatisch/zonder grote kosten verifiëren dat jij werkelijk de beheerder bent van het domein waarvoor je een certificaat aanvraagt?

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 27 Okt 2016, 08:12

Zoals StartSSL dit doet... een verificatie mail sturen naar webmaster@domain.com

Hoe doet Let's Encrypt dit dan ?

Gebruikersavatar
xming
Pro Member
Pro Member
Berichten: 422
Lid geworden op: 06 Okt 2005
Bedankt: 38 keer
Uitgedeelde bedankjes: 9 keer

Re: Tijd voor https ?

Berichtdoor xming » 27 Okt 2016, 14:33

road rebel schreef:Op een eigen kleinschalig website met vragenlijsten (limesurvey) ben ik ook nog met http. Wat moet ik doen om over te schakelen op https?

cloudflare of let's encrypt.

r2504 schreef:Hoe doet Let's Encrypt dit dan ?

Of via een DNS record, er bestaan scriptjes om dit allemaal automatisch te late verlopen zonder gebruik van de officiële acme tool.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 27 Okt 2016, 17:08

xming schreef:Of via een DNS record, er bestaan scriptjes om dit allemaal automatisch te late verlopen zonder gebruik van de officiële acme tool.


En hoe doe ik dat op m'n Routerbord ? Scriptjes zijn leuk maar liever eerst de basis en dat is nog steeds een CSR en CER.

StartSSL heeft ondertussen ook API's... doodsimpel en gewoon HTTP POST/GETs... CSR POST'en, certificaat terug ophalen ipv. gans dat ACME gedoe.

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15572
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 501 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 442 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 27 Okt 2016, 20:01

En Let's Encrypt's concept is onbruikbaar in een Windows webfarm waarbij IIS zelf z'n certificaten managed (Centralized Certificates)

Gebruikersavatar
xming
Pro Member
Pro Member
Berichten: 422
Lid geworden op: 06 Okt 2005
Bedankt: 38 keer
Uitgedeelde bedankjes: 9 keer

Re: Tijd voor https ?

Berichtdoor xming » 27 Okt 2016, 20:39

r2504 schreef:
xming schreef:Of via een DNS record, er bestaan scriptjes om dit allemaal automatisch te late verlopen zonder gebruik van de officiële acme tool.


En hoe doe ik dat op m'n Routerbord ? Scriptjes zijn leuk maar liever eerst de basis en dat is nog steeds een CSR en CER.

StartSSL heeft ondertussen ook API's... doodsimpel en gewoon HTTP POST/GETs... CSR POST'en, certificaat terug ophalen ipv. gans dat ACME gedoe.


het is gewoon csr, die tools maken het "gemakkelijker". Als je weet hoe je keys/crs aanmaakt, DNS/web files aanpast, POSTen en dan de certs op de juiste plaatsen zet, dan heb je die acme tool echt niet nodig.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 26838
Lid geworden op: 28 Okt 2003
Bedankt: 1791 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 301 keer

Re: Tijd voor https ?

Berichtdoor r2504 » 27 Okt 2016, 21:01

meon schreef:En Let's Encrypt's concept is onbruikbaar in een Windows webfarm waarbij IIS zelf z'n certificaten managed (Centralized Certificates)


Dat kan je Let's Encrypt natuurlijk moeilijk kwalijk nemen.

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 02 Nov 2016, 00:33

En tenslotte sluit nu ook Google nog aan:

https://security.googleblog.com/2016/10 ... rtcom.html

Apple (Safari en co) was trouwens de eerste, heeft in september WoSign er al uitgesmeten.

Het lijstje van de grote browsers die WoSign/StartCom niet langer vertrouwen is bij deze compleet.

Bij deze mag je dan ook concluderen: RIP WoSign/StartCom/StartSSL (1999-2016)...

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 24 Mar 2017, 12:07


CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 05 Jul 2017, 10:24

Ondertussen is Chrome 59 verschenen. Het Startcom root cert is geschrapt. Deze site gebruikt echter nog steeds dat Startcom cert.

Ik kan dan ook niet meer met https://userbase.be verbinden. NET::ERR_CERT_REVOKED

Het is nu echt wel 5 na 12 om een letsencrypt oid te installeren... Eerste melding hieromtrent dateert al van 27 september (zie hierboven)...

FlashBlue
Moderator
Moderator
Berichten: 1735
Lid geworden op: 20 Jan 2006
Locatie: Gent
Bedankt: 243 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 988 keer

Re: Tijd voor https ?

Berichtdoor FlashBlue » 05 Jul 2017, 10:27

/me knipoogt naar Meon :wink:

Had dat met de dev versie al een tijd voor, dus ze weten het :-)
Maar feit is dat letsencrypt echt niet gebruiksvriendelijk is eigenlijk...

driesp
Member
Member
Berichten: 91
Lid geworden op: 17 Jan 2014
Bedankt: 5 keer
Uitgedeelde bedankjes: 3 keer

Re: Tijd voor https ?

Berichtdoor driesp » 05 Jul 2017, 10:56

Voor een tientje per jaar heb je een betalend certificaat.
Je kan zelfs meteen voor meerdere jaren registreren als je geen zin hebt om elk jaar opnieuw een nieuwe private key te genereren.

Eerlijk, de tijd dat je stopt om let's encrypt te configureren op de server tov de kost van het goedkoopste certificaat weegt mij niet op.
Of het moet zijn dat het om meerdere domeinen gaat dat je wil gaan beveiligen.

johcla
Elite Poster
Elite Poster
Berichten: 2161
Lid geworden op: 23 Mar 2009
Bedankt: 125 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 559 keer

Re: Tijd voor https ?

Berichtdoor johcla » 05 Jul 2017, 11:02

Omdat mijn NAS problemen had met het vernieuwen van Let's Encrypt, heb ik nu een paar Comodo PositiveSSL certificaten gekocht via gogetssl.
Kostprijs: 11 euro voor 3 jaar.

blaatpraat
Premium Member
Premium Member
Berichten: 515
Lid geworden op: 10 Jan 2014
Bedankt: 38 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 17 keer

Re: Tijd voor https ?

Berichtdoor blaatpraat » 05 Jul 2017, 15:42

driesp schreef:Voor een tientje per jaar heb je een betalend certificaat.
Je kan zelfs meteen voor meerdere jaren registreren als je geen zin hebt om elk jaar opnieuw een nieuwe private key te genereren.

Eerlijk, de tijd dat je stopt om let's encrypt te configureren op de server tov de kost van het goedkoopste certificaat weegt mij niet op.
Of het moet zijn dat het om meerdere domeinen gaat dat je wil gaan beveiligen.

From scratch:
2 commando's intikken op CLI, en 1 crontab toevoegen (renewbot autorenew of iets dergelijks).
Kost mij effectief minder tijd dan een TLS cert te kopen.

Nieuw domein toevoegen: 1 commando intikken op CLI.
Nog minder werk dus.

En gezien het feit dat een korte renew periode veiliger blijkt te zijn dan een lange, maakt LE wel de voorkeur, tenzij je een specialeke wenst (wildcard, of EV, of ...).

Maar goed: Chrome is up-to-date hier (v59) en UB laadt nog perfect in over HTTPS.
Enkel nog steeds de melding ivm mixed content...

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3010
Lid geworden op: 10 Mar 2010
Bedankt: 320 keer
Uitgedeelde bedankjes: 47 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 05 Jul 2017, 15:49

FlashBlue schreef:Maar feit is dat letsencrypt echt niet gebruiksvriendelijk is eigenlijk...


serieus? ik gebruik dat al jaren, zie écht niet het ongebruiksvriendelijke in?

ff cert-bot (of tegenwoordig beter: binaries rechtstreeks uit je distro sources) laten lopen met een paar params, een crontabje en klaar.

met de binary is het gewoon dit en bent al vertrokken:
/usr/bin/letsencrypt certonly --webroot --webroot-path /var/www/vhost -d userbase.be -d http://www.userbase.be --email somewhere@over.the.rainbow
(tuurlijk wel ff de vhost aanpassen naar /etc/letsencrypt/live/userbase.be/.... voor key en chain)

driesp schreef:Eerlijk, de tijd dat je stopt om let's encrypt te configureren op de server tov de kost van het goedkoopste certificaat weegt mij niet op.

again, seriously? op 5 minuten tijd heb je jaarlijks 10 euro winst...
ooit zal hier iets nuttigs staan

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15572
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 501 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 442 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 05 Jul 2017, 21:59

Help mij dan eens, ik was een nieuwe CSR aan't opstellen, maar gekke errors :).

Code: Selecteer alles

meon@prod:/home/meon$ sudo openssl req -new -sha256 -key ./userbase.be.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=[SAN]\nsubjectAltName=DNS:userbase.be,DNS:www.userbase.be")) -out ./req.csr

Code: Selecteer alles

error on line -1 of /dev/fd/63
140505886852776:error:02001002:system library:fopen:No such file or directory:bss_file.c:169:fopen('/dev/fd/63','rb')
140505886852776:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:172:
140505886852776:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:197:

(Bovenstaande is in Windows nog een beetje complexer, maar daar lukt het me tenminste wél :P)

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3010
Lid geworden op: 10 Mar 2010
Bedankt: 320 keer
Uitgedeelde bedankjes: 47 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 05 Jul 2017, 22:07

je hoeft niet perse een eigen csr te maken voor letsencrypt, dat is allemaal volledig geautomatiseerd :)
(je KAN het wel - maar tenzij je TLSA records gebruikt heeft het éigenlijk niet echt veel belang)

also: verouderde openssl dat je die error krijgt? dacht toch dat dat ooit zo was.
ik heb atm deze 2 openssl versies en 0 issues:

openssl/trusty-updates,trusty-security,now 1.0.1f-1ubuntu2.22 amd64 [installed]
openssl/xenial-updates,now 1.0.2g-1ubuntu4.8 amd64 [installed,automatic]
Laatst gewijzigd door Splitter op 05 Jul 2017, 22:10, 1 keer totaal gewijzigd.
ooit zal hier iets nuttigs staan

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15572
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 501 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 442 keer
Contact:

Re: Tijd voor https ?

Berichtdoor meon » 05 Jul 2017, 22:09

Ik heb 't nu niet per sé over Let's encrypt, en al helemaal niet over hun client :).

Als ik de oneliner goed decodeer injecteer je je openssl-config in de -config parameter en vervang je in die string het gedeelde voor de subjectalternatename? Is het dat deel dat fout gaat? (Ik ben bash-notatie niet gewoon, geef mij maar PowerShell ;))

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3010
Lid geworden op: 10 Mar 2010
Bedankt: 320 keer
Uitgedeelde bedankjes: 47 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 05 Jul 2017, 22:19

met je commando's is niets mis :)
en idd, je steekt de config in de commandline, en ik geloof idd dat die de string dan zo vervangt... maar replacement/regex related stuff is niet mijn forté :p

iig:

Code: Selecteer alles

 H gallifrey.peeters.io  bpeeters  ~ | tmp  openssl genrsa -out test.key 2048
Generating RSA private key, 2048 bit long modulus
....................+++
........................................+++
e is 65537 (0x10001)
 H gallifrey.peeters.io  bpeeters  ~ | tmp  openssl req -new -sha256 -key ./test.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=[SAN]\nsubjectAltName=DNS:userbase.be,DNS:www.userbase.be")) -out ./req.csr
 H gallifrey.peeters.io  bpeeters  ~ | tmp  ls -lash
total 16K
4.0K drwxr-xr-x  2 bpeeters bpeeters 4.0K Jul  5 23:14 .
4.0K drwxr-xr-x 12 bpeeters bpeeters 4.0K Jul  5 23:14 ..
4.0K -rw-r--r--  1 bpeeters bpeeters  944 Jul  5 23:14 req.csr
4.0K -rw-r--r--  1 bpeeters bpeeters 1.7K Jul  5 23:14 test.key
 H gallifrey.peeters.io  bpeeters  ~ | tmp  cat req.csr
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----


ik zou dus toch een keertje zoals in mijn edit hierboven gezegd eens kijken naar je versie van openssl
ooit zal hier iets nuttigs staan

CCatalyst
Elite Poster
Elite Poster
Berichten: 932
Lid geworden op: 20 Jun 2016
Bedankt: 86 keer
Recent bedankt: 3 keer

Re: Tijd voor https ?

Berichtdoor CCatalyst » 08 Jul 2017, 22:08

blaatpraat schreef:Maar goed: Chrome is up-to-date hier (v59) en UB laadt nog perfect in over HTTPS.
Enkel nog steeds de melding ivm mixed content...


Inderdaad, my bad, reden dat het bij mij niet meer werkt is niet Chrome 59 maar wel macOS High Sierra (10.13). Apple zegt vanaf die versie van macOS het vertrouwen op in Startcom/WoSign in de keychain. Chrome gebruikt op macOS de keychain van Apple. Ook op Safari werkt het (uiteraard) niet meer, op Firefox wel nog gezien die een eigen implementatie gebruikt ipv de Apple keychain.

Voor andere besturingsystemen, wat Chrome betreft is het vanaf Chrome 61 (september 2017) definitief gedaan. Userbase staat momenteel nog op de whitelist, vanaf versie 61 wordt die whitelist geschrapt.

Laat dit geen reden zijn voor nog meer uitstel, want zoals die post zelf zegt: "Sites still using StartCom or WoSign-issued certificates should consider replacing these certificates as a matter of urgency to minimize disruption for Chrome users."

Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 3599
Lid geworden op: 17 Nov 2009
Bedankt: 1279 keer
Recent bedankt: 7 keer
Uitgedeelde bedankjes: 224 keer

Re: Tijd voor https ?

Berichtdoor raf1 » 09 Jul 2017, 06:53

blaatpraat schreef:Enkel nog steeds de melding ivm mixed content...

Dat komt omdat de avatar van Sasuke en anderen met een externe avatar zoals MClaeys via http worden ingeladen.
Er moeten dus twee dingen aangepast worden:
- bestaande avatar url's naar https aanpassen
- nieuwe avatar url's verplichten https te gebruiken

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4242
Lid geworden op: 16 Feb 2011
Bedankt: 239 keer
Uitgedeelde bedankjes: 283 keer

Re: Tijd voor https ?

Berichtdoor MClaeys » 09 Jul 2017, 07:58

Ik zal de mijne deze week eens naar https wijzigen, is nu doorgelinkt naar een externe site, vandaar.

Sent from my Lenovo K33a48 using Tapatalk
Xbox Live: MClaeys

blaatpraat
Premium Member
Premium Member
Berichten: 515
Lid geworden op: 10 Jan 2014
Bedankt: 38 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 17 keer

Re: Tijd voor https ?

Berichtdoor blaatpraat » 09 Jul 2017, 09:20

raf1 schreef:
blaatpraat schreef:Enkel nog steeds de melding ivm mixed content...

Dat komt omdat de avatar van Sasuke en anderen met een externe avatar zoals MClaeys via http worden ingeladen.
Er moeten dus twee dingen aangepast worden:
- bestaande avatar url's naar https aanpassen
- nieuwe avatar url's verplichten https te gebruiken

Niet akkoord.
Er bestaan genoeg oplossingen die je als forumeigenaar kan toepassen, waarbij je je leden niet hoeft lastig te vallen.
Als je je leden verplicht om een HTTPS avatar te gebruiken, vallen er veel externe webhosts uit de boot, aangezien die geen HTTPS aanbieden. Dit mag niet het probleem van UB vormen, noch het probleem van de leden hier. Dit mag enkel het probleem van die specifieke webhost vormen, de dag dat HTTP als onveilig aanzien wordt door de browsers.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3010
Lid geworden op: 10 Mar 2010
Bedankt: 320 keer
Uitgedeelde bedankjes: 47 keer

Re: Tijd voor https ?

Berichtdoor Splitter » 09 Jul 2017, 09:25

blaatpraat schreef:Er bestaan genoeg oplossingen die je als forumeigenaar kan toepassen, waarbij je je leden niet hoeft lastig te vallen.
Als je je leden verplicht om een HTTPS avatar te gebruiken, vallen er veel externe webhosts uit de boot, aangezien die geen HTTPS aanbieden. Dit mag niet het probleem van UB vormen, noch het probleem van de leden hier. Dit mag enkel het probleem van die specifieke webhost vormen, de dag dat HTTP als onveilig aanzien wordt door de browsers.


wut?

1) http is altijd al onveilig geweest (het ligt maar net aan wat je veilig noemt... log jij op de bank in op http?)

2) ben benieuwd welke oplossingen jij kan aanhalen dat je op een forum kan toepassen zonder dat de leden "lastiggevallen" moeten worden of hun avatar kwijt zijn, en toch https zonder waarschuwing kan krijgen? afaik... zijn er geen. mixed content is mixed content.

3) "vallen er veel externe webhosts uit de boot" again wut? noem er mij 3 die populair zijn en geen https ondersteunen... en geef me vervolgens een reden waarom ze het niet zouden in orde brengen, het kost letterlijk niets meer.

@beheer: gewoon een sql statement doen van replace http door https... en de avatars die breken, "tant pis"
ooit zal hier iets nuttigs staan


Terug naar “Userbase: Aankondigingen, vragen en suggesties”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast