Server Zertifikate mit Wildcards

[StefanW]

Ich habe es sicherheitshalber gerade eben nochmal ausprobiert (mit einem anderen, internen Webserver). Sowohl die aktuelle Version von Chrome, Edge und Firefox akzeptieren das auch anstandslos und zeigen die Webseite anschließend als Sicher an.

Ok, ich lasse das nochmal prüfen.

Eine frühere Rückmeldung - wir haben das letztes Jahr schon diskutiert - war, dass Wildcard Zertifikate nicht erlaubt wären.

The CA/Browser Forum decided to mitigate the risk by deprecating the issuance of certificates with non-FQDNs. As defined in the Baseline Requirements, the publicly-trusted SSL CAs will stop issuing certificates with non-FQDNs by November 1, 2015, and all unexpired certificates with non-FQDNs will be revoked by October 1, 2016. The CAs must also provide a warning of the deprecated use of such certificate to the applicant before issuance.

und

On October 1, 2016, all publicly trusted SSL/TLS certificates with an internal name or reserved IP address will be revoked and/or blocked by browser software.

Würde aber bedeuten - und Deiner Erfahrung entsprechen - dass es mit Self-Signed-Certificates weiterhin funktionieren könnte.

==> Ich lasse die Ausstellung von non-FQDN Host-Only Zertifikat prüfen.

lg

Stefan

[StefanW]

Es wäre also eine Überlegung Wert

==> Ich lasse die Ausstellung von non-FQDN Host-Only Zertifikat prüfen.

Und wir haben es schon umgesetzt.

==> Die seit letzter Woche frisch aufgesetzten Timberwolf Server verfügen nun über das gewünschte non-FQDN Host-Only (Wildcard)-Zertifikat mit "timberwolfxxx."

lg

Stefan

[Dragonos2000]

@StefanW
Was bedeutet dies für die Wölfe in freier Wildbahn?
Ist das Thema damit FINR ?

[starwarsfan]

@StefanW
Was bedeutet dies für die Wölfe in freier Wildbahn?

Das würde mich auch interessieren.

[StefanW]

Nein, das Theme ist für wilde Wölfe, die schon länger aus der Obhut der heimischen Höhle entlassen wurden nicht gelöst. Schließlich haben wir schon individuelle KeyPairs auf den Servern und damit auch individuelle Zertifikate (ist ja auch noch ein entsprechender CN mit SN drin). Das geht nicht einfach per Update.

Wir prüfen das noch, ansich müsste man das Zertifiakt neu erzeugen und als CSR ("Certificate Signing Request") zu unserer CA ("Certificate Authority") hochladen und dort signieren lassen und dann zurück schicken. Das ist nicht neu, aber auch nichts triviales, das mal eben aus der Tasche fällt.

Ich kann daher noch nicht versprechen, wann wir das auch den freien Wölfen zur Verfügung stellen, wir haben aber auch keine klare Vorstellung, ob und wie schmerzhaft es für einzelne ist. Womöglich macht man das bei einer Handvoll Kunden, die das benötigen von Hand?


lg

Stefan

[Dragonos2000]

Wahrscheinlich spielt's für die IT Pros und gewerbliche Kunden eine Rolle. Mit "von Hand" meinst Du über die Remote Wartung, oder einschicken? Via Remote Wartung dann bloß nicht den eigenen Ast absägen

[StefanW]

Wahrscheinlich spielt's für die IT Pros und gewerbliche Kunden eine Rolle. Mit "von Hand" meinst Du über die Remote Wartung, oder einschicken? Via Remote Wartung dann bloß nicht den eigenen Ast absägen

Mit von Hand meine ich Remote Wartung. Keine Sorge, ist ein separater Ast.

lg

Stefan

[starwarsfan]

Hallo Stefan

Womöglich macht man das bei einer Handvoll Kunden, die das benötigen von Hand?

Wäre für mich völlig in Ordnung.

[Chris M.]

Müsste so ein Zertifikats-Prozess nicht auch für den regelmäßig fälligen Zertifikats-Wechsel (meines läuft ja bereits am Montag, 20. September 2038 um 16:32:30 aus ) implementiert werden?

Gut, das dürfte auf der Prio-Liste aktuell unter wichtig aber nicht dringend liegen...

[jockel]

Womöglich macht man das bei einer Handvoll Kunden, die das benötigen von Hand?

Ja, damit hätte ich auch kein Problem!

meines läuft ja bereits am Montag, 20. September 2038 um 16:32:30 aus

Du solltest Dir vorsichtshalber schon mal einen zweiten Wolf ins Regal legen, könnte ja was knapp werden