Descentforum.DE

Do_Checkor · Last edited by Do_Checkor on 03.08.2023, 21:59; edited 1 time in total

Die SSL Zertifikate für Descentforum.DE, Descent3.DE, die Cloud von Descentforum, und mail.Descent3.de Email-Server werden bislang von StartCom ausgestellt.

WoSign ist eine andere (chinesische) Zertifikatsstelle, die diversen Schmu betrieben hat.

Leider hat die Firma "WoSign" unsere Zertifikatsstelle "StartCom" vor einiger Zeit aufgekauft (ohne dies wirklich kund zu tun).

Verschiedene Stellen vertrauen WoSign, und folglich auch StartCom nicht mehr, dazu gehören z.B. Mozilla und Apple.

Bisher wurde nur ein Teil der Zertifikate diskreditiert - vor allem jene die ab Oktober 2016 erstellt wurden, jedoch spitzt sich die Lage zu, und läuft auf ein unschönes Ende hinaus (welches für März 2017 angesetzt ist).

Am kommenden Freitag läuft das Zertifikat von unserem Email-Server, einschließlich dem dazugehörigen Webinterface, aus.

Ich werde also die kommenden Tage, bzw. am kommenden Wochenende auf eine neue Zertifikats-Stelle umrüsten, welche jedoch ganz anders funktioniert.

Normal wird einfach verlängert - ein Schritt der recht simpel ist, und normalerweise reibungslos funktioniert.

Das geht aber dieses mal nicht, da wir die ganze Zertifikats-Stelle wechseln müssen (und ich mich mit deren Techniken erst vertraut machen muss).

Ab Freitag wird der E-Mail-Server des Projekts (siehe https://www.descentforum.de/forum/viewtopic.php?t=5189) für sämtliche Domains für eine Weile down gehen um diese Aufgabe zu ermöglichen...

Unter anderem also:

Descent3.de
Descent4.de
MartinTimmermann.de
Hashishins.de
DoCheckor.de
Interagro.de
DescentUnderground.de
Descentforum.NET
Descentforum.DE
Do-Clan.de
Talongame.net
Talongame.de

Die Vorbereitungen für den Einsatz der neuen, automatisierten Zertifikats-Update-Verfahren habe ich heute abgeschlossen.

Momentan kann ich noch nicht absehen, wie lange es dauern wird, diesen SSL swap-over durchzuführen.

Hauptsache, Ihr wisst Bescheid, dass es am kommenden Wochenende zu Störungen kommt...

Ich gebe Euch Bescheid, sobald ich damit durch bin!

Do_Checkor · Posted: 11.01.2017, 22:37 Post subject:

https://www.heise.de/security/meldung/Zertifikats-Schmu-bei-WoSign-und-StartCom-Mozilla-macht-Ernst-3361574.html

Zorc · Posted: 11.01.2017, 22:48 Post subject: You da man!

Die sind wirklich nicht mehr vertrauenswürdig. Danke, daß Du Dir die Mühe machst, die Zertifizierungsstelle zu wechseln, das frißt bestimmt wieder ne Menge Deiner Zeit - aber ist die Mühe wert. Betrifft mich direkt, weil ich nur Mozilla Sesamonkey und Firefox Browser nutze. Wobei die Chrome user sogar schon etwas länger betroffen sind, Apple hat den Zertifikaten sogar noch eher das Vertrauen entzogen.

Do_Checkor · Posted: 11.01.2017, 22:59 Post subject:

Die Zertifikate von DF und dem am kommenden WE betroffenem mail.descent3.de Email-Server sind aber selbst im aktuellen Chrome immer noch gültig und machen keine Probleme.

Aber: Es muss gemacht werden bevor es anfängt zu stinken...

PS: Ich danke hier mal kurz noch mal CDC und dem maulenden Maulwurf für die Maulerei was diese Thematik angeht, für die Hinweise, Tipps und Hilfeangebote!

Maulwurf · Posted: 12.01.2017, 22:15 Post subject:

Irgendwer muss dich halt aufwecken bevor du stinkst Sehr glücklich

Aber macht dir mal keinen Kopf, wenn es eingerichtet ist, ist es durch. Die erste Verlängerung habe ich für meine Server bereits durch. Dadurch dass es automatisiert passiert, spart man sich echt einen Haufen Arbeit gegenüber der bisherigen Variante mit 1 Jahr Laufzeit.
(Hintergrund für Außenstehende: LetsEncrypt stellt Zertifikate nur für 90 Tage aus, um die automatisierte Verteilung von Zertifikaten zu fördern und die Verwendung von HTTPS und anderer verschlüsselter Verbindungsarten zu fördern, nach dem Motto: fire and forget - einmal eingerichtet, dauerhaft verschlüsselt)

Do_Checkor · Posted: 14.01.2017, 00:17 Post subject:

Der Email-Server und dessen Webinterface sind jetzt erfolgreich auf die neue Zertifikats-Stelle umgestellt. Wer das in Kombination mit der bei uns verwendeten Webserver-Software und E-Mail-Server Software sowie Webmail-Software mal gemacht hat weiß, dass es nicht ganz ohne ist. Der nächste Termin ist der 13.04.2017 für das nächste Update. Automatisiert funktioniert das in keinem Fall, aber ich werde uns da selbst etwas programmieren, damit das irgendwann sauber klappt. Sollte es widererwartend Probleme geben, gebt mir Bescheid! nachdem Ihr Eure Systeme neu gestartet habt Smilie

Maulwurf · Posted: 14.01.2017, 21:15 Post subject:

vielleicht solltest du bei der Gelegenheit noch auf Linux wechseln Auf den Arm nehmen

Marix · Posted: 14.01.2017, 22:23 Post subject:

Braucht er doch gar nicht, er kann ja das Hosting einfach über das Linux-Subsystem machen. Sehr böse

Do_Checkor · Posted: 19.01.2017, 23:10 Post subject:

..sollte ich dann bei Gelegenheit vielleicht auch auf "Männer" statt "Frauen" wechseln, weil die Software von "Frauen" teilweise umständlich ist? Lachen

Nee,... Ich bleibe bei "Frauen". Die versteht zwar kaum einer (ich behaupte nicht daß ich...), aber die mag ich, die kenne ich, und ich weiß damit umzugehen, und daß sie besser aussehen, steht eh außer Frage... Auf den Arm nehmen

Im Ernst: Das Betriebssystem ist in dieser Angelegenheit völlig egal. Man muss halt immer recherchieren und irgend etwas machen, coden, scripten, etc., damit die Dinge in der eigenen Konstellation von Umständen / Software funktionieren.

Nach knapp 16 Jahren Descentforum.de auf Windows-Server-Systemen ohne nennenswerte Ausfallzeiten o.ä. bin ich recht sicher, auch dieses Thema hin zu bekommen. Bin ja schon froh, daß der Mail-Server und Webinterface überhaupt so flott umgestellt werden konnten. Das was nun noch kommt ist im Vergleich eher easy, wie es mir scheint Smilie

Do_Checkor · Posted: 29.03.2017, 20:14 Post subject:

Leider wird dieses Thema jetzt für drei Monate etwas nervig:

Die ersten Browser fangen an, Warnmeldungen zu zeigen, weil dem Serverzertifikat nicht mehr vertraut wird.

Man muss sich allerdings keine Sorgen machen: Das Zertifikat ist gültig und in Ordnung.

Ende Juni läuft es aus, und ich werde dann, wie bei den ersten Seiten und Services bereits erfolgreich exerziert, eine andere Zertifikats-Stelle nutzen.

Bis dahin müssen wir uns etwas gedulden...

Do_Checkor · Posted: 12.06.2017, 21:51 Post subject:

Wie versprochen, habe ich das Thema nun geklärt.

Seit heute nutzt Descentforum.de neue (und wieder saubere) Zertifikate für die Cloud und das Forum...

Ich habe die Projekt-Dokumentation aka. Operational Concept diesbezüglich ausführlich aktualisiert und die Eingangseite (endlich mal) aktualisiert.

Do_Checkor · Posted: 25.06.2017, 21:28 Post subject:

Unser jabber / XMPP Messenger Server hat heute auch ein neues SSL Zertifikat bekommen.

Das ist gestern nämlich abgelaufen, was unserem aufmerksamen Maulwurf direkt aufgefallen ist. Vielen Dank noch einmal für den Hinweis, Mauli!

Cool

Maulwurf · Posted: 30.06.2017, 21:27 Post subject:

jup, passt wieder Sehr glücklich

Do_Checkor · Posted: 10.11.2017, 20:38 Post subject:

Heute gab es für ein paar Stunden eine SSL-Zertifikats-Warnung. Wurde behoben... Die volle Sicherheit war übrigens trotzdem durchgehend gegeben!

Ben · OOTS Joined: 10 May 2002 Posts: 2884 Location: Aachen / D

DA wird wieder rumgemeckert dein Zerti"fick"at sei abgelaufen... Winken

Do_Checkor · Posted: 15.03.2018, 16:56 Post subject:

Hab ich schon gesehen... Kann ich erst nächste Woche lösen, wenn ich wieder in Deutschland bin..

In der Zwischenzeit kann man 'trotzdem fortfahren' oder eine Ausnahmeregel anlegen...

Ben · OOTS Joined: 10 May 2002 Posts: 2884 Location: Aachen / D

Jow, erhole dich ersmal weiter und genießs deinen Urlaub Winken

Do_Checkor · Posted: 20.03.2018, 23:01 Post subject:

Problem wieder vom Tisch Smilie

Zorc · Posted: 21.03.2018, 19:15 Post subject:

Daumen hoch!

Nogly · Posted: 21.03.2018, 19:33 Post subject:

SUPI