Zertifikat für https://www.wiki.fsfe.org

[Robert Kehl]

Am 11.03.2013 07:33, schrieb Bernd Wurst:
> Jetzt solltest du sagen, wo du die URL www.wiki.fsfe.org her hast und
> dann sollte dort der Link repariert werden.

In meinem Fall war es eine Suche, die ich jetzt nicht mehr 
rekonstruieren kann, es war ein Treffer innerhalb einer aufgezeichneten 
Mailingliste. Ich halte die Wahrscheinlichkeit für sehr gering, dass 
Suchmaschinenbetreiber ihre Ergebnisse einer Liste, die sich nicht mehr 
ändern wird, anpassen.

Es ist auch nicht relevant, wo die Adresse denn auftaucht - entscheidend 
ist, dass sie vom Server akzeptiert wird und dann zu einem Fehler führt.

Wenn Du eine OpenVPN-Verbindung aufmachst, oder eine simple 
IMAPS-Verbindung, und Dein Client gibt Dir zu verstehen, dass das 
Zertifikat, das gestern noch anstandslos akzeptiert wurde, jetzt nicht 
mehr akzeptiert wird, wirst Du doch misstrauisch und machst weiter, 
nehme ich an. Natürlich hat hier das Zertifikat noch nie gepasst - aber 
die Webseite akzeptiert ja die Anfrage, also sollte das Zertifikat auch 
passen. Tut es das nicht, komme ich ins Grübeln.

Die Lösung kann also nicht sein: "Benutz' die URL nicht, das ist 
broken", sondern eher, www.wiki.fsfe.org in das Zertifikat aufzunehmen. 
Schlimmstenfalls gilt es, nicht auf den Namen zu hören.

 > Und dann sollten die Web-Admins mal SNI lernen und unterschiedliche
 > Zertifikate für unterschiedliche Services benutzen. Dann wäre in deiner
 > Warnung nämlich gestanden, dass der richtige Hostname "wiki.fsfe.org"
 > ist. So hast du keine Chance zu erkennen dass der Fehler nur minimal ist.

SNI hilft da natürlich mit, aber nicht alleine.

Mit fröhlichem Gruß

Robert Kehl