oxo888oxo: Mein SSL Zertifikat

Hallo

Ich habe heute mal wieder bei https://www.ssllabs.com meine Seite durch deren Test laufen lassen.
Dabei habe ich als Ergebnis ein schönes "A" bekommen.
Eine Sache macht mich aber etwas stutzig.
Ich erhalte dort folgende Meldung:
"Intermediate certificate has an insecure signature. Upgrade to SHA2 as soon as possible to avoid browser warnings."

Hier könnt Ihr Euch das mal genau ansehen:
Testergebnis von ssllabs.com

Da ich da technisch jetzt nicht so sehr der Fachmann bin, wollte ich Euch um Hilfe bitten.
Ist mit meinem SSL-Zertifikat bei meinem Provider etwas nicht in Ordnung?
Oder wir muss ich das verstehen?

Gruß aus Münster
Ingo

  1. "Intermediate certificate has an insecure signature. Upgrade to SHA2 as soon as possible to avoid browser warnings."

    Ist mit meinem SSL-Zertifikat bei meinem Provider etwas nicht in Ordnung?

    Mit deinem Zertifikat ist alles in Ordnung.

    Im Abschnitt Additional Certificates kannst du sehen, dass dein Server außer deinem auch noch zwei weitere Zertifikate liefert, nämlich jenes, mit dem dein Zertifikat signiert wurde, GeoTrust DV SSL CA - G3, und das Wurzelzertifikat GeoTrust Global CA, welches wiederum vorgenanntes signiert. Die Warnung bezieht sich auf das Wurzelzertifikat.

    Das Geotrust-Wurzelzertifikat benutzt das unsichere SHA1, was aber mehr Schönheitsfehler denn Problem ist.
    Browser oder gleich das Betriebssystem haben eine Reihe Wurzelzertifikate üblicherweise in ihren eigenen Dateien vorliegen (SSLLabs nennt das den "Trust Store") – die Prüfsumme und ihre Sicherheit sind da letztlich ziemlich wurscht, entweder vertraut man darauf, dass Browser/Betriebssystem die richtigen, echten Dateien installiert haben oder man tut es eben nicht. Tut man es nicht, gibt es auch keine Möglichkeit, die Prüfsumme eines Zertifikats zu überprüfen, denn es könnte außer den Zertifikaten genauso gut auch das Prüfsummenprogramm gefälscht sein.

    Im Abschnitt Certification Paths findest du den Pfad, den SSLLabs für dein Zertifikat ermittelt hat. Jedes Zertifikat signiert das vorangegangene; auf diese Weise kommt man, bei dir in zwei Schritten, zu einem Wurzelzertifikat. Das Vertrauen in die Echtheit dieses Wurzelzertifikates bestimmt das Vertrauen in die gesamte Kette.

    Das alte SHA1-Verfahren wird hier und da AFAIK noch genutzt, um auch alten Gerätschaften ein Mindestmaß an Sicherheit bieten zu können. Statt des Pfades, der bei dir aus zwei Zertifikaten mit SHA256 besteht und im SHA1-Wurzelzertifikat endet, werden diese mit SHA1-Zertifikaten bestückt, die in demselben SHA1-Wurzelzertifikat enden. Aber das nur nebenbei.

    Wenn du genauer hinguckst, wirst du feststellen, dass die Prüfsumme des Geotrust-Wurzelzertifikats aus der Serverliste (Abschnitt Additional Certificates) eine andere ist als die im Zertifikatspfad (Abschnitt Certification Paths).
    Der Grund ist, dass dein Server eine alte, wenn auch noch nicht abgelaufene Version ausliefert, während SSLLabs sowieso auf das bei sich vorliegende Zertifikat zurückgreift, und zwar in der aktuellen Version. Hätte SSLLabs das Wurzelzertifikat nicht selbst vorliegen, wäre deine Zertifikatskette nicht vertrauenswürdig, denn du kannst ja ein x-beliebiges Wurzelzertifikat liefern – dessen Echtheit kann der Browser nicht überprüfen, weil's schon das Ende der Kette ist.

    Langer Rede, kurzer Sinn: Die Warnung kannst du ignorieren, aber das alte und sowieso nutzlose, da in seiner Funktion als Ausgangspunkt nicht vertrauenswürdige Wurzelzertifikat sollte dein Server nicht liefern.

    1. Hallo

      Langer Rede, kurzer Sinn: Die Warnung kannst du ignorieren, aber das alte und sowieso nutzlose, da in seiner Funktion als Ausgangspunkt nicht vertrauenswürdige Wurzelzertifikat sollte dein Server nicht liefern.

      Erstmal danke ich Dir sehr für Deine ausführliche Antwort.
      Sollte ich meinen Webhosting-Provider (1und1) also mal darauf ansprechen?

      Gruß Ingo

      1. das alte und sowieso nutzlose, da in seiner Funktion als Ausgangspunkt nicht vertrauenswürdige Wurzelzertifikat sollte dein Server nicht liefern.

        Sollte ich meinen Webhosting-Provider (1und1) also mal darauf ansprechen?

        Grundsätzlich ja, aber da 1und1: zwecklos.

        Nicht, dass ich generell etwas gegen 1und1 hätte, aber es ist halt ein Massenhoster und ein Hoster für die Massen. Ich würde mir von einem Hinweis auf einen Schönheitsfehler, der keinerlei negative Auswirkungen hat, nichts versprechen; das ist vergebene Liebesmüh'.

        Falls es dich stört, kannst du dein Zertifikat stattdessen von Let's Encrypt signieren lassen (kostenlos – kostenpflichtige sind nun wirklich keine Alternative, es funktioniert ja bei dir). Dazu musst du aber selbstverständlich die Möglichkeit haben, deinem Server ein eigenes Zertifikat zu geben, und hast außerdem gegenüber dem sicherlich vollautomatischen 1und1-Zertifikat deutlichen Zusatzaufwand, weil die Let's-Encrypt-Signatur immer nur für 90 Tage gültig ist.

        Ich tät's einfach so lassen, wie es ist.

        1. Hallo

          Ich tät's einfach so lassen, wie es ist.

          OK, dann werde ich das mal so machen.
          Im Grunde bin ich zwar da ein echter Pingelkopp und habe es gerne "ordentlich" 😀
          Aber ich werde mich nun doch zusammenreißen, weil es wohl den Aufwand nicht lohnt.
          Danke Dir nochmal sehr.

          Gruß Ingo