willuhn.de :: home of jameica & hibiscus

Neues SSL-Zertifikat für willuhn.de

Trackbacks

Kommentare

Alex am Dienstag, 10. November 2015:

Olaf am Dienstag, 10. November 2015:

Florian am Freitag, 13. November 2015:

Florian am Freitag, 13. November 2015:

Olaf am Freitag, 13. November 2015:

Sven Bunge am Sonntag, 15. November 2015:

Olaf am Montag, 16. November 2015:

Markus am Montag, 16. November 2015:

Olaf am Montag, 16. November 2015:

Sven B. am Freitag, 20. November 2015:

Olaf am Montag, 23. November 2015:

Sven am Samstag, 9. Januar 2016:

Olaf Willuhn am Montag, 11. Januar 2016:

Geschrieben von Olaf Willuhn am Dienstag, 10. November 2015

Und schon wieder ist ein Jahr rum. Habe ein neues Server-Zertifikat eingerichtet.

Neue Fingerprints:

SHA256

C7:DE:90:1E:0E:D2:E5:D6:4D:51:FD:25:BC:4B:FC:30:
73:F9:E1:17:28:69:AF:86:2D:9D:5D:E5:08:54:95:23

SHA1

BA:91:1D:42:E0:11:52:E1:40:D3:C1:F8:D0:19:F2:F7:16:2C:63:66

Und mit SHA-256 jetzt auch ein A-Rating bei SSL Labs.

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Ansicht der Kommentare: Linear | Verschachtelt

Bei mir wurde gerade die entsprechende Benachrichtigung mit Ja/Nein/Abbrechen angezeigt, aber die hing dann ("keine Rückmeldung"). Ich musste den Task killen. Das habe ich zwei mal gemacht, mit dem gleichen Effekt. Beim dritten Mail habe ich nicht gleich nach dem Start auf "Synchronisieren" geklickt, nach wenigen Sekunden kam wieder die Meldung, funktionierte diesmal aber - ich konnte auf "Ja" klicken.
Demnach tritt das Problem auf, wenn den Fenster während der laufenden Synchronisierung erscheint.
(2.7.0.1028)

Möglich. Könnte sein, dass sich da zwei Dialoge (Zertifikat bestätigen und PIN-Eingabe) in die Quere gekommen sind und so zu einem Deadlock geführt haben. Solche Race-Conditions lassen sich allerdings nur sehr schwer analysieren. Und wenn man das neue Zertifikat einmal akzeptiert hat, sollte das ja nicht wieder passieren.

Bei mir hing die Abfrage auch.
Sie kam beim Abrufen der Kontoauszüge.
Warum verbindet sich Hibiscus dabei mit willuhn.de?

Upps, ich sollte die vorherigen Kommentare besser lesen ;)
Hat wohl mit der Update-Suche zu tun. Interessanterweise hing genau ab dem Zeitpunkt die Synchronisierung, was mich zu o.g. Annahme geführt hat.

> Warum verbindet sich Hibiscus dabei mit willuhn.de?

Das ist die automatische Pruefung nach neuen Updates. Das passiert direkt nach dem Programmstart. Kannst du unter Datei->Einstellungen->Updates deaktivieren, indem du unten das Haekchen bei "Automatisch nach Updates von installierten Plugins suchen" deaktivierst.

Das hatte nichts mit dem Abruf der Umsaetze zu tun sondern ueberschnitt sich nur zeitlich. Sprich: Ein Thread im Programm versuchte die Umsaetze abzurufen und ein zweiter versuchte parallel die Updates zu pruefen.

Mit HSTS und einer Laufzeit von 6 Monaten hättest sogar A+ :-)
Änderung ist in 5 Minuten implementiert.

Es gibt im Firefox aber noch eine kleine Warnung, weil manche Ressourcen via http geladen werden. Auch die RSS-Feeds sind noch mit http verlinkt.
Dadurch fehlt das reCaptcha auch und man kann so lange nicht posten, bis man den Schutz deaktiviert.

Kurzum: Schon ganz gut mit noch etwas Potential ;-)

Also die 12 Monate bei StartSSL finde ich ja schon nervig kurz. Da stelle ich dann lieber irgendwann auf letsencrypt.org um.

Die RSS-Links hab ich korrigiert - danke fuer den Hinweis.

Hallo Olaf,

wäre es denn möglich das neue Zertifikat mit dem alten zu signieren? So könnte man sich zum einen die Abfrage sparen, zum anderen kann man sich so sicher sein, dass nicht die NSA Man-in-the-Middle spielt.

Das ist ein Zertifikat von StartSSL. Ich wuesste nicht, wie ich sowas da selbstvmachen koennte. Ich kann da nur nen CSR einreichen. Das Signieren machen die.

Hey Olaf,
HSTS ist nur ein Header, der aussagt das die Homepage in den nächsten X Sekunden nicht via HTTP angeboten wird/verwendet werden soll. Hier wählt man oft 6 Monate. Daher muss man nie etwas erneuern sondern nur die Verwendung klassifizieren.

letsencrypt wird spannend. Liefert erstmal nur 3 Monate Gültigkeit, daher muss die Neuausstellung automatisiert werden. Bin gespannt wie es wird.

Das Captcha ist in Firefox 42 leider noch kaputt :-(

Was konkret ist denn an dem Captcha kaputt? Ich hab da nicht wirklich Einfluss drauf. Das ist ein fertiges Plugin der Blog-Software.

Hey Olaf,

sorry die späte Rückmeldung. Wenn du deine Seite via SSL auslieferst müssen alle Teile via SSL eingebunden sein. Auch Tracking und Scripte. Das Recaptcha-Script ist leider unverschlüsselt mittels http:// URL eingebunden. Firefox 43.0.4 verhindert daher das Einbetten. (Die URL des Scripts ist http://www.google.com/recaptcha/api/challenge?k=6LekQAETAAAAAA-zlThxu83uRpxXJ-bAkTwIcTMn -- es gibt aber auch noch einen noscript-Block)

Ich denke es ist ausreichend beides mit https einzubinden und fertig. Just try it. :-)

Vorwärts →

Das Recaptcha-Zeug habe ich nicht selbst eingebunden. Das macht das entsprechende Captcha-Plugin der Blogsoftware, die ich verwende. Ich habe da keinen Einfluss auf die verwendete URL.

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.