oxo888oxo: SSL-Zertifikat mit TSL1.0 macht Prblem bei einem User

Hallo

Ich habe meine Website kürzlich komplett auf SSL umgestellt. Mein Hosting-Provider (1und1) stellt allerdings "nur" ein SSL-Zertifikat mit TSL1.0 zur Verfügung. Und laut diesem SSL-Test, ist das Ergebnis leider auch nicht so sehr berauschend :-(

Nun hat mich ein User angeschrieben, der meine Seite nicht mehr öffnen kann. Er nutzt den Firefox-Browser in der aktuellen Version. Ich nutze den gleichen Browser (ohne Modifikationen und/oder Add-ons) und habe keinerlei Probleme mit dem Aufruf der Seite.

Der Besagte User nutzt wohl ein "SSL Validation-Addon". Aber selbst wenn der das ausschaltet, kann er meine Seite nicht aufrufen. Er bekommt dann diese Fehlermeldung. (siehe Screenshot unten).

Ich frage mich nun natürlich, woran das liegen kann und ob ich das evtl. beheben kann. Habt Ihr da Tipps für mich bzw. könntet Ihr mir quasi auf die Sprünge helfen?

Gruß Ingo

Bildbeschreibung

  1. Moin!

    Der Besagte User nutzt wohl ein "SSL Validation-Addon".

    Firefox 44.02 | geht klaglos Midori 0.4.3 | geht klaglos Chromium 48.0.2564.82 Ubuntu 14.04 (64-bit)| geht klaglos

    Du kannst nicht jedes von Benutzern verursachte Problem beheben.

    Jörg Reinholz

    1. Moin!

      w3m | geht klaglos wget 1.12| Fehler: Der Common Name »www.spaceart.de« des Zertifikates entspricht nicht dem angeforderten Hostname »spaceart.de« wget 1.15 | geht klaglos

      wget 1.12 meckert, das Zertifikat sei für spaceart.de nicht gültig, weil für www.spaceart.de ausgestellt. Du leitest aber alles zu https://spaceart.de weiter, was hier zum Fehler führt.

      wget 1.15 sagt:

      certificate:
        subject: /CN=www.spaceart.de
        issuer:  /C=US/O=GeoTrust Inc./OU=Domain Validated SSL/CN=GeoTrust DV SSL CA - G4
      X509 certificate successfully verified and matches host spaceart.de
      

      Auf der sicheren Seite bist Du, wenn Du zu https://www.spaceart.de weiterleitest statt zu https://spaceart.de

      Jörg Reinholz

      1. Hallo

        Ah OK, das muss ich mir mal genauer angucken. Ich hatte vor ca. 14 Tagen mal bei meinem Provider (1und1) im Control-Center das SSL-Zertifikat neu zugeordnet. Und zwar von spaceart.de auf www.spaceart.de. Weil ich erst vorhatte, alles auf www.spaceart.de umzuleiten.

        Ich hatte mich dann allerdings doch anders entschieden und alles zu spaceart.de umzuleiten. Und da ich das Zertifikat nur alle 30 Tage einmal neu zuordnen kann, kann ich das also erst in 15 tagen wieder auf spaceart.de zuordnen.

        Die von 1und1 hatten mir am Telefon gesagt, dass das im Grunde egal sei, weil das Zertifikat eh für mit und ohne www gilt. Ich habe das gerade eben nochmal getestet. Und zwar habe ich die Umleitung nun testweise nochmal abgeschaltet. Und nun ist meine Seite unter https mit und ohne www erreichbar.

        Daraus schließe ich nun, dass das normalerweise alles kein Problem ist. Nur wenn jemand so ein SSL-DingsBums-Add-on nutz kann es evtl. doch sein, dass es sich irgendwie auswirkt mit meiner Zuordnung des SSL-Zertifikats auf www.spaceart.de.

        Habe ich das in etwa richtig überlegt so?

        Gruß Ingo

        1. Moin!

          Habe ich das in etwa richtig überlegt so?

          Naja. Kommt drauf an wie weit man "in etwa" ausdehnen will. Wget 1.2 nutzt gerade kein "SSL-DingsBums-Add-on" und ist nicht das neueste Stück Software. Und inzwischen gibt es eine Menge Browser, die auch nicht immer "up-to-date sind. Ich sag nur "Android".

          Jörg Reinholz

          1. Ja im Grunde hatte ich das auch so gemeint, wie Du schreibst. Dann gibt es also diverse Tools, Add-ons und ältere Systeme, bei denen diese Zuordnung eine Rolle spiel. Ich werde dann die Umleitung die nächsten 15 Tage mal deaktiviert lassen. Dann mache ich eine neue Zuordung des SSL-Zertifikates auf spaceart.de (ohne www). Und dann schalte ich die Umleitung auf https://spaceart.de wieder ein.

            Und dann hoffe ich, dass das der Auslöser des Problems war :-) Darf ich Dich dann hier auch nochmal "ansprechen" und Dich Bitten dass dann auch nochmal zu testen?

            1. Moin!

              Und dann schalte ich die Umleitung auf https://spaceart.de wieder ein.

              Äh naja. Ich würde damit nicht so viel "wackeln", weil (nicht nur) Google stabile Seiten (wahrscheinlich) honoriert. Da kommen wir aber zu SEO.

              Und dann hoffe ich, dass das der Auslöser des Problems war :-) Darf ich Dich dann hier auch nochmal "ansprechen" und Dich Bitten dass dann auch nochmal zu testen?

              Ja. Nutze aber die Möglichkeit per PM. Sonst musst Du womöglich länger warten bis ich die Seite 2 oder 3 nochmal durchsehe und ein neuer Thread wird nicht gerne gesehen.

              Jörg Reinholz

              1. Hallo Jörg Reinholz,

                Ja. Nutze aber die Möglichkeit per PM. Sonst musst Du womöglich länger warten bis ich die Seite 2 oder 3 nochmal durchsehe und ein neuer Thread wird nicht gerne gesehen.

                Du könntest ja auch deine Benachrichtigungen entsprechend konfigurieren.

                Bis demnächst
                Matthias

                --
                Das Geheimnis des Könnens liegt im Wollen. (Giuseppe Mazzini)
              2. Äh naja. Ich würde damit nicht so viel "wackeln", weil (nicht nur) Google stabile Seiten (wahrscheinlich) honoriert. Da kommen wir aber zu SEO.

                Ja OK, stimmt :-) Dann werde ich die Umleitung auf https://spaceart doch wieder aktivieren, damit Google sich da nicht "ärgert".

                Ja. Nutze aber die Möglichkeit per PM.

                Ja das werde ich machen. In ca. 15 Tagen, wenn ich die neue Zuordnung für mein SSL-Zertifikat durchgeführt habe, melde ich mich wieder bei Dir. Danke nochmal sehr für Deine nette Hilfe!!!

      2. Tach,

        wget 1.12 meckert, das Zertifikat sei für spaceart.de nicht gültig, weil für www.spaceart.de ausgestellt. Du leitest aber alles zu https://spaceart.de weiter, was hier zum Fehler führt.

        da scheint aber die von wget 1.12 verwendete SSL-Lib nicht aktuell zu sein, das Zertifikat hat beide Namen als Alternative eingetragen.

        mfg
        Woodfighter

        1. Hallo

          da scheint aber die von wget 1.12 verwendete SSL-Lib nicht aktuell zu sein, das Zertifikat hat beide Namen als Alternative eingetragen.

          Oha :-) Das ist dann also dass, was der 1&1-Support-Mensch mir ja auch am Telefon gesagt hat. Also dass das Zertifikat für die Domain mit und ohne www funktioniert.

          Ich habe gerade mal im Firefox Browser nachgeschaut. Und dort werden mir unter "Zertifikatsgegenstand-Alternatov-Name" auch beide angezeigt. Allerdings die mit www an erster Stelle und die ohne www an zweiter Stelle. Wenn ich das jetzt richtig verstehe, ist das Zertifikat also sozusagen für www.spaceart.de mit der Alternative spaceart.de.

          Könnte diese kleine feine Tatsache evtl. die Ursache der ganzen Angelegenheit sein? Ich kann bei 1&1 ja in ca. 15 Tagen das Zertifikat wieder "neu zuordnen". Das werde ich dann auch machen, also wieder von jetzt www.spaceart.de auf dann spaceart.de.

          Ich habe ja die große Hoffnung, dass das genau die Lösung des Problems sein wird.

          Gruß Ingo

  2. Tach,

    Ich habe meine Website kürzlich komplett auf SSL umgestellt. Mein Hosting-Provider (1und1) stellt allerdings "nur" ein SSL-Zertifikat mit TSL1.0 zur Verfügung.

    das Zertifikat hat nichts (genauer nur wenig) mit der verwendeten TLS-Version zu tun; allerdings schickt der Server Intermediate-Zertifikate mit, die nicht mehr verwendet werden sollten, SSLLabs zeigt aber auf, dass es einen sinnvolleren Path zum Root-Zertifikat gibt.

    Und laut diesem SSL-Test, ist das Ergebnis leider auch nicht so sehr berauschend :-(

    Ja, aber da ist die Konfiguration des Webservers dran schuld und nicht das Zertifikat.

    mfg
    Woodfighter

    1. Hallo

      Ja, aber da ist die Konfiguration des Webservers dran schuld und nicht das Zertifikat.

      Ah OK. Aber als "einfacher" Hosting-Kunde bei 1&1 (mit deren dickstem Hosting-Paket) kann ich da wohl nichts dran ändern? Oder vielleicht doch?

      Gruß Ingo

      1. Tach,

        Ah OK. Aber als "einfacher" Hosting-Kunde bei 1&1 (mit deren dickstem Hosting-Paket) kann ich da wohl nichts dran ändern? Oder vielleicht doch?

        beschwer' dich da; bei 1&1 würde es mich wundern, wenn sich dadurch direkt etwas ändert, aber dann hast du immer noch die Möglichkeit mit deinem Geldbeutel abzustimmen.

        mfg
        Woodfighter

  3. Hallo

    Ich hatte gestern mal mit 1&1 Kontakt. Und die haben mir gesagt, dass 1&1 wohl auch in der ersten Jahreshälfte 2016 seine SSL-Zertifikate "aufwerten" wird. Dann sind diese dort auch endlich TSL1.2. So, wie das ja beim Mitbewerber Strato auch schon seit längerer Zeit der Fall ist (bei denen sogar TSL1.0, TSL1.2 und TSL1.3). Mal gucken, ob 1&1 auch alle 3 einführt. Es bleibt spannend :-)

    Gruß Ingo