[Eisfair] kein TLS-Webserverzugriff nach Firefox 36.0-Update

Juergen Edner juergen at eisfair.org
Fr Feb 27 10:15:45 CET 2015 

Hallo Alex,

> habe mal testweise auf einer WS Firefox auf 36 upgedatet und erhalte
> ebenfalls o.g. Fehlermeldung.
> Eins der Zertifikate funktioniert, alle anderen liefern den Fehler.
> 
> Das Überprüfen eines der den Fehler verursachenden Zertifikaten:
> eis # openssl x509 -in dmail.meine-Domain.org.pem -noout -text | grep
> "Signature Algorithm"
>     Signature Algorithm: sha384WithRSAEncryption
> 
> openssl rsa -in dmail.meine-Domain.org.pem -noout -text
> liefert:
> Private-Key: (2048 bit)
> 
> und wurde bereits mit den Standard-Einstellungen erstellt. Das war mit
> einer der certs-Vorversionen, die Du mir per Mail geschickt hattest.

dies sieht für mich in Ordnung aus. Bei mir war nach dem Austausch
eines Zertifikates mit anschließendem Neustart des Webservers das
Problem behoben.
Aktuell verwendet das apache2-Paket meines Wissens noch getrennte
Zertifikats und Schlüsseldateien, auch wenn die Einzelkomponenten
sich ebenfalls alle schon in der Zertifikatsdatei befinden.

    ../certs/dmail.meine-Domain.org.pem
    ../private/dmail.meine-Domain.org.key

Mit dem nächsten Paketupdate wird dies vereinfacht, sodass der
Schlüssel ebenfalls direkt aus der Zertifikatsdatei gelesen wird,
wie dies auch alle anderen Pakete schon machen.

Eventuell solltest du selbst noch einmal im Internet nach einer
möglichen, anderen Ursache forschen. Siehe z.B.:

https://support.mozilla.org/de/questions/1031483

> Nebenbemerkung: was mich beim Neuerstellen eines Zertifikats noch
> irritiert ist, dass nach Auswahl und Durchführung von Punkt 10 die
> weiteren Punkten nach wie vor das grüne Häckchen haben.

Ich selbst habe gestern auf Basis des certs-Paketes v1.4.0 neue
Zertifikate erstellt und kann dies nur dann bestätigen, wenn ein
bereits existierendes Zertifikat ausgewählt wird und somit alle
zu generierenden Dateien bereits existieren.
Wählt man den Menüpunktes 10 an und entscheidet sich einen neuen
Schlüssel anzulegen, so wird man bei Bedarf gefragt, ob zuvor
erzeugte Dateien entfernt bzw. archiviert werden sollen.

Gruß Jürgen
-- 
Mail: juergen at eisfair.org

Mehr Informationen über die Mailingliste Eisfair