Zwischenzertifikat (Intermediate) wird nicht erkannt

  • Von QNAP wird wahrscheinlich nur wieder eine Standardantwort kommen :X
    Nein, von Comodo (Positive SSL).


    P.S. QNAP bietet diese Funktion doch an, also muss es doch vollständig implementierbar sein :/

  • Hallo,
    gibt es inzwischen eine Lösung für das Problem?
    Seitdem ich meine Portfreigabe auf einen Virtuellen Host umgestellt habe tritt bei mir der gleiche Fehler auf.


    Viele Dank

  • Ich habe ebenfalls das Problem, daß auf drei unterschiedlichen Qnap 453 jeweils ein eigenständiges gekauftes SSL-Zertifikat läuft, welches vom aktuellen FF an zwei von fünf Rechnern nicht erkannt wird.


    Daran hat sich leider auch nichts nach der Installation des Updates 4.32 vom 13.02.2017 geändert, welches folgendes Problem lösen sollte:
    Fixed an issue where intermediate SSL certificates could not be validated when Virtual Host was enabled.


    Merkwürdig finde ich, daß an drei Rechnern bei Zugriff auf die Webseiten keinerlei Fehlermeldungen erscheinen und bei zwei Rechnern FF sendet 'die Verbindung ist nicht sicher'. Alle FF haben dengleichen aktuellen Stand.


    Ein SSL Test mit https://www.ssllabs.com/ssltest/analyze.html zeigt ebenfalls an, das die Zwischenzertifikate fehlen. Ich habe alle Zertifikate neu ausstellen lassen und erneut auf den Qnaps installiert. Dieselben Zertifikate (5 Jahres Zertifikate) liefen zuvor auf einem Mietserver einwandfrei.



    Ist irgendeine Problemlösung in Aussicht? Offensichtlich hat das aktuelle Update das Problem nicht behoben.



    Danke für eine Rückmeldung.

  • Ich habe das Problem nun für mich lösen können (auf allen vier Qnaps laufen nun alle vier SSL Zertifikate einwandfrei, egal, ob Global Sign oder Alpha SSL):


    1. Vorhandene Zertifikate unter Systemsteuerung -> Sicherheit -> Zertifikat und privater Schlüssel herunterladen (nur zur Sicherheit, das ist das Zertifikat und der private Schlüssel und das Zwischenzertifikat)


    2. Das aktuelle Firmware-Update 4.2.3 vom 13.02.2017 einspielen, welches den Fix für folgendes Problem enthält:
    Fixed an issue where intermediate SSL certificates could not be validated when Virtual Host was enabled.


    3. Unter Systemsteuerung -> Sicherheit -> Zertifikat und privater Schlüssel auf 'Standardzertifikat und privater Schlüssel' klicken, sodaß das Standardzertifikat wieder installiert wird


    4. Anschließend die drei zuvor gesicherten Dateien wieder hochladen (Zertifikat, Private Key und Zwischenzertifikat)


    5. Dann unter Anwendungen -> Webserver den 'Sichern Anschluß aktivieren' und den Port von 8081 wieder auf 443 zurücksetzen


    6. Dann unter Anwendungen -> Webserver -> Virueller Host den Host erneut aktivieren, da er zuvor automatisch deaktiviert wurde


    7. Zur Sicherheit https://ssl-trust.com/SSL-Zertifikate/check aufrufen und das SSL Zertifikat testen. Es wird nun grün angezeigt: Das Zertifikat der Domain ist vertrauenswürdig.


    8. Dann noch einen vollständigen Test auf https://www.ssllabs.com/ssltest/analyze.html durchführen und sich über das 'A' freuen.


    9. Nun geht wieder alles!

  • Hallo xtcfol,


    könntest du bitte mal den Inhalt deiner /etc/config/apache/extra/httpd-ssl-vhosts-user.conf posten.


    Ich habe bisher die httpd-ssl-vhosts-user.conf immer mit einer autorun.sh gepatcht um das ZSchiffszertifikat richtig einzubinden und auch die Protokolle sicherer zu machen. Das gibt dann beim Check ein grünes A+ https://www.ssllabs.com/ssltest/
    Nachzulesen hier unter Punkt 2 :
    [Howto] Eigenes Zertifikat mit "qnap-letsencrypt"


    vG kasimodo


    Nachtrag:
    Ich habe mir soeben die /etc/config/apache/extra/httpd-ssl-vhosts-user.conf auf einen anderen NAS mit der aktuellen Firmware angeschaut. Qnap hat es endlich hinbekommen den Eintrag SSLCertificateChainFile "/etc/stunnel/uca.pem" zu setzen. Auch die RC4 Sicherheitslücke wurde berücksichtigt.


    Aber das folgende fehlt immer noch in der httpd-ssl-vhosts-user.conf! 8-(

    Code
    LoadModule headers_module /mnt/ext/opt/apache/modules/mod_headers.so
    Header always set Strict-Transport-Security "max-age=15768000"


    mfg kasimodo

    3 Mal editiert, zuletzt von kasimodo ()

  • Hallo kasimodo,


    danke für Deinen ausführlichen Post. Ich denke, daß der Upload der /etc/config/apache/extra/httpd-ssl-vhosts-user.conf sich mit Deinem Check erübrigt hat.


    Betreffend der RC4 Sicherheitslücke hatte ich mehrfach den Helpdesk angeschrieben - Beharrlichkeit führt offensichtlich zum Ziel, wenn auch alle anderen Nutzer mitmachen.


    Danke für Deine Expertise und den Hinweis auf den 'letzten Punkt', der dann wohl auch ein A+ auf SSLlabs erzeugen würde. Mit dem A bin ich schon einmal zufrieden (ist allemal besser als das 'B') und hoffe, die Qnap-Jungs bleiben weiter an der Sache dran.


    Viele Grüße
    xtcfol


    Hallo noch einmal kasimodo,


    Hast Du Deinen letzten Hinweis bereits an den Qnap Helpdesk gemeldet?

    Aber das folgende fehlt immer noch in der httpd-ssl-vhosts-user.conf! 8-(

    Code
    LoadModule headers_module /mnt/ext/opt/apache/modules/mod_headers.so
    Header always set Strict-Transport-Security "max-age=15768000"

    Man könnte doch ggfs. durch mehrere Nutzer den Hinweis an den Helpdesk senden, daß wir diese Änderung wünschen.
    Was meinst Du?


    Viele Grüße
    xtcfol

  • Ich kämpfe immer noch mit dem COMODO Zertifikat. Integriert bekomme ich es, jedoch wird auf Android immer noch eine Warnung ausgegeben. Konnte einer bisher ein Zertifikat von COMODO erfolgreich einbinden?


    (Bei LET's Encrypt gibt es auch noch keine gescheite Lösung oder? Port 80 wird ja nicht erkannt :/ )

  • (Bei LET's Encrypt gibt es auch noch keine gescheite Lösung oder? Port 80 wird ja nicht erkannt

    wieso gibt es da noch keine gescheite Lösung?


    ich nutze Letsencrypt seit Anbeginn. und je nach Routertyp kann man das Öffne und Schließen von Port 80 automatisieren und auch überprüfen bevor der Letsencript client ein neues Zertifikat anfordert.

  • Bei mir kommt keine Fehlermeldung auf meinem Android.
    Habe auch neulich erst auf comodo umgestellt, da google die zertifikate von wosign ausgeschlossen hat.
    Am besten das zertifikat mit der seite testen, die ich oben verlinkt habe.

  • Man bekommt von Comodo 4 Dateien, welche hast du wo eingefügt?


    Bekomme immer wieder Fehler angezeigt, mit dem Zwischenzertifikat und bei deiner URL wird bei dem letzten Check folgendes angezeigt:

    Code
    Certificate Chain Complete?
    A valid Root CA Certificate could not be located, the certificate will likely display browser warnings.