[linux-l] StartSSL Zertifikat

[Hanno Böck]

Hallo,

On Tue, 5 Jan 2016 11:37:58 +0100
Michael Wiedmann <mw at miwie.in-berlin.de> wrote:

> Das neue Zertifikat wird aktuell von einer anderen CA als bisher
> ausgestellt:
> 
>    StartCom Class 1 DV Server CA
> 
> Mein aktueller Firefox (43.0.1) kennt den Issuer aber nicht.
> In der entsprechenden ZIP Datei war auch eine Datei
> "1_root_bundle.crt" enthalten, dieses lautet decodiert eben auf:

Zertifikate werden heutzutage *immer* von einer sogenannten
Intermediate-CA ausgestellt und nicht von der CA direkt.
StartCom hat lediglich ein neues intermediate-zertifikat erstellt.
Das ist auch sinnvoll, denn bei dem vorigen hatten sie das selbe
Zertifikat sowohl mit SHA1- als auch mit SHA256-Signatur angeboten. Das
hat durch caching dann manchmal dazu geführt, dass man selbst auf
Seiten, die die SHA256-Variante genutzt haben, eine Warning erhielt.

Damit Dein Firefox das Zertifikat akzeptiert musst Du das Intermediate
(was Du in der Datei 1_root_bundle.crt findest) korrekt installieren.
Wie das geht hängt von der jeweiligen Serversoftware ab.

Mit dem SSLLabs-Test kannst Du prüfen ob alles korrekt ist. Dort sollte
bei "Chain issues" "None" stehen. Wenn da "incomplete" steht hast Du
das Intermediate nicht installiert.
https://www.ssllabs.com/ssltest/

-- 
Hanno Böck
http://hboeck.de/

mail/jabber: hanno at hboeck.de
GPG: BBB51E42
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 819 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20160105/45f5ee77/attachment.sig>