Zertifikat für https://www.wiki.fsfe.org
Robert Kehl
rk23 at fsfe.org
Mo Mär 11 20:15:29 UTC 2013
Am 11.03.2013 07:33, schrieb Bernd Wurst:
> Jetzt solltest du sagen, wo du die URL www.wiki.fsfe.org her hast und
> dann sollte dort der Link repariert werden.
In meinem Fall war es eine Suche, die ich jetzt nicht mehr
rekonstruieren kann, es war ein Treffer innerhalb einer aufgezeichneten
Mailingliste. Ich halte die Wahrscheinlichkeit für sehr gering, dass
Suchmaschinenbetreiber ihre Ergebnisse einer Liste, die sich nicht mehr
ändern wird, anpassen.
Es ist auch nicht relevant, wo die Adresse denn auftaucht - entscheidend
ist, dass sie vom Server akzeptiert wird und dann zu einem Fehler führt.
Wenn Du eine OpenVPN-Verbindung aufmachst, oder eine simple
IMAPS-Verbindung, und Dein Client gibt Dir zu verstehen, dass das
Zertifikat, das gestern noch anstandslos akzeptiert wurde, jetzt nicht
mehr akzeptiert wird, wirst Du doch misstrauisch und machst weiter,
nehme ich an. Natürlich hat hier das Zertifikat noch nie gepasst - aber
die Webseite akzeptiert ja die Anfrage, also sollte das Zertifikat auch
passen. Tut es das nicht, komme ich ins Grübeln.
Die Lösung kann also nicht sein: "Benutz' die URL nicht, das ist
broken", sondern eher, www.wiki.fsfe.org in das Zertifikat aufzunehmen.
Schlimmstenfalls gilt es, nicht auf den Namen zu hören.
> Und dann sollten die Web-Admins mal SNI lernen und unterschiedliche
> Zertifikate für unterschiedliche Services benutzen. Dann wäre in deiner
> Warnung nämlich gestanden, dass der richtige Hostname "wiki.fsfe.org"
> ist. So hast du keine Chance zu erkennen dass der Fehler nur minimal ist.
SNI hilft da natürlich mit, aber nicht alleine.
Mit fröhlichem Gruß
Robert Kehl
Mehr Informationen über die Mailingliste FSFE-de