interne CA - Dies ist keine sichere Verbindung



  • Hallo,

    ich habe auf der PFSense eine CA sowie ein Zertifikat angelegt.
    Das Zertifikat wurde auf firewall.localdomain (Alternative Names local LAN IP, + IP 127.0.0.1) unter Anwendung aktueller Algorithmen sowie Schlüssellängen ausgestellt.
    Das Zertifikat der Root-CA habe ich auf meinem MacBook im Key-Store eingefügt und als vertrauenswürdig eingestuft.
    In der pfsense habe ich unter "System->Advanced" das neue Zertifikat ausgewählt.

    Wenn ich die Seite der Firewall nun im Browser (Google Chrome) aufrufe, bekomme ich trotzdem die Meldung, die Seite sei nicht sicher. Lasse ich mir im chrome das Zertifikat anzeigen (er zeigt wirklich das neue an), wird es als "Dieses Zertifikat ist Sicher" angezeigt. Firefox meldet auch, dass es nicht sicher ist. In beiden Browsern habe ich den Cache komplett gelöscht, alles neugestartet.

    Was mache ich falsch? Ich würde eigentlich erwarten, dass das neue Zertifikat nicht mehr als unsicher bewertet wird.

    Edit: Chrome meldet .NET::ERR_CERT_REVOKED

    Vielen Dank.

    VG
    Hilfi



  • Hallo,

    vom Mac habe ich zwar keine Ahnung, doch habe ich mit neueren Browsern die Erfahrung gemacht, dass sie keine Zertifikate mögen, die viele Jahre lang gültig sind und da solche irreführende Fehler ausgeben. Eine Recherche nach dem Problem brachte zu Tage, dass eine maximale Gültigkeitsdauer 825 Tagen akzeptiert wird.
    Dass passt damit zusammen, dass offizielle Zertifikate heute auch nur noch auf max. 2 Jahre ausgestellt werden.

    Könnte aber auch sein, dass die Browser die CRL vermissen. Dann hättest du ein größeres Problem.

    Grüße



  • Hi,

    danke, genau das war es.
    Ich habe gestern 4 Stunden meiner Zeit verballert und bin auf diese einfach Idee nicht gekommen.

    aber stimmt, ich musste selber einige Zertifikate wechseln ;)
    Danke


  • LAYER 8 Moderator

    Und lustiger wird es bei IOS Geräten, die bei selbst ausgestellten CAs/Zertifikaten (bspw. bei einem eigenen internen Mailserver) wohl inzwischen auch gern mal die Verbindung verweigern. Aber hey, die Admins die das aufgebaut haben und jahrelang betreut haben (und es toll läuft) haben sicher nichts dagegen, wegen einem Apple Update einfach mal ihre ganze CA Infrastruktur umzubauen 🙄


Log in to reply