Https

Informationen zu diesem Forum...

Wäre HTTPS für das TFF Forum sinnvoll?

ja
71
60%
nein
6
5%
ist mir egal
41
35%
 
Abstimmungen insgesamt : 118

Re: Https

von AquaAndreas » 21. Mär 2016, 08:09

Hallo Benjamin,

ich bezweifele sehr, dass das Model S IPv6 spricht. Ich selbst habe hier keine IPv6 Connectivity momentan, aber habe mal gegen geprüft mit:

https://www.ssllabs.com/ssltest/analyze.html?d=tff-forum.de&latest

Ergebnis: IPv6 fein, gute SSL Konfiguration, aber nur TLS 1.0 + und natürlich SNI

Im Model S ist ja ein etwas abgehangener QtWebKit Browser in Verwendung, genauer Version 534.34.
Nach meiner Recherche kann der einfach kein TLS 1.0+. Man müsste also nochmal SSLv3 aufmachen.

NB1:
Ich hatte den Vorführer von Tesla bei mir im WLAN drin und Wireshark drangehängt. Der Surf-Traffic geht direkt raus, nur die Telematik geht über OpenVPN.

NB2:
https://www.youtube.com/watch?v=KX_0c9R4Fng&spfreload=10

NB3:
Noch jemand das dringende Bedürfnis nach "root " auf seinem Tesla?
Model S90D aus Juni 2016, weiß, 19 Zöller, AP1, ...
 
Beiträge: 378
Registriert: 17. Mär 2016, 10:24

Re: Https

von Guillaume » 21. Mär 2016, 10:36

Du hast Recht, die IPv6-Verbindung funktioniert grundsätzlich, da war die von mir verwendete Test-Seite vermutlich fehlerhaft.

Du vermutest, es liegt am fehlenden SSLv3.
Nun, diese (von mir gehostete) Seite kann vom MS-Browser aus aufgerufen werden, unterstützt aber auch kein SSLv3 mehr:
https://www.ssllabs.com/ssltest/analyze ... 3a1&latest
Diese läuft auch unter SNI (IPv6 ausgenommen).

Ich sehe im Vergleich nur, dass die SSL-Konfiguration vom TFF-Forum weniger Cipher unterstützt und kein "Strict Transport Security (HSTS)" aktiviert ist.

Zusammenfassung:
- meine HTTPS-Seite kann im MS aufgerufen werden
- beim Forum erscheint sofort die Fehlermeldung "Seite kann nicht aufgerufen werden".

Aber es lässt sich wahrscheinlich auch schlecht debuggen, da das TFF-Forum wohl bei Strato gehostet wird und man dementsprechend wenig Zugriff auf Logfiles, Einstellungen bzgl. LogLevels usw. haben dürfte.
 
Beiträge: 2688
Registriert: 24. Jan 2015, 22:10

Re: Https

von AquaAndreas » 21. Mär 2016, 16:21

Am besten führt jemand mal den Client Test mit dem Model S Browser durch:

https://www.ssllabs.com/ssltest/viewMyClient.html

Dann wissen wir genau, was der Browser kann.

Grüße,

Andreas
Model S90D aus Juni 2016, weiß, 19 Zöller, AP1, ...
 
Beiträge: 378
Registriert: 17. Mär 2016, 10:24

Re: Https

von Guillaume » 23. Mär 2016, 19:54

Et voila:

Bild

Bild
 
Beiträge: 2688
Registriert: 24. Jan 2015, 22:10

Re: Https

von AquaAndreas » 23. Mär 2016, 20:21

Hey, danke Benjamin.

Also kann der Browser doch kein SNI? Bummer!

(hier stand eben was falsches, sorry, hatte einen Denkfehler)


Thorsten, Du könntest die Seite wie folgt konfigurieren:

Code: Alles auswählen
SSLStrictSNIVHostCheck off

<VirtualHost *:443>
    ServerName tff-forum.de

    SSLCertificateFile ...
    # ...
</VirtualHost>
   
<VirtualHost *:443>
    ServerName andere-domain.de
    # ...
</VirtualHost>


Dadurch sollte der Tesla Browser auch ohne SNI funktionieren und auf tff-forum.de landen, andere Seiten greifen dann über die folgenden VirtualHosts. Wichtig ist, dass tff-forum.de an erster Stelle steht, in der Datei, und auch für alle anderen Dateien unter /etc/apache2/sites-enabled/ (alphabetisch an erster Stelle).

Noch ein Vorschlag: vielleicht noch

DHE-RSA-AES256-SHA

bei der Option SSLCipherSuite in /etc/apache2/mods-available/ssl.conf hinzufügen.

Grüße, Andreas
Model S90D aus Juni 2016, weiß, 19 Zöller, AP1, ...
 
Beiträge: 378
Registriert: 17. Mär 2016, 10:24

Re: Https

von Guillaume » 23. Mär 2016, 21:19

AquaAndreas hat geschrieben:Also kann der Browser doch kein SNI? Bummer!


Das ist leider nicht ganz richtig. Habe das eben nochmal ausprobiert, der Browser kann definitiv auf eine SNI-Seite zugreifen, wenn auch mit vorheriger Zertifikatswarnung, die mit "Ja" bestätigt werden muss. Habe das eben mit einer selbst gehosteten Website gecheckt. Ich habe dort mehr als 10 SSL-Zertifikate unter einer IPv4-Adresse laufen. Außerdem steht jetzt fest dass er per IPv4 zugreift:

Aus dem Apache-Log:
Code: Alles auswählen
82.199.92.4 - - [23/Mar/2016:18:58:45 +0100] "GET / HTTP/1.1" 200 5244 "-" "Mozilla/5.0 (X11; Linux) AppleWebKit/534.34 (KHTML, like Gecko) QtCarBrowser Safari/534.34"


Liegt es vielleicht an der Apache-Config bzgl. SNI? Ich weiß nicht ob Thorsten Zugriff auf die Apache-Config auf dem Strato-Server hat, ansonsten könnte man da nochmal ansetzen.
 
Beiträge: 2688
Registriert: 24. Jan 2015, 22:10

Re: Https

von AquaAndreas » 23. Mär 2016, 21:32

SNI ist ja eine Erweiterung, die ab TLS 1.0 unterstützt wird. Der Webserver braucht SNI, um beim TLS-Handshake das richtige Zertifikat zu finden.

Der Webserver kann sich jetzt auf zwei verschiedene Arten verhalten:

Er kann drauf bestehen, das SNI verwendet wird. Apache2 macht das, wenn SSLStrictSNIVHostCheck angeschaltet ist. Ergebnis: ein Client, der kein SNI sendet, kann nicht verbinden

Oder er serviert einfach das erste Zertifikat, dass nach seiner Config passt. So verhält sich Apache, wenn die oben genannte Option aus ist.

Ein Client, der zwar TLS 1.0 unterstützt aber kein SNI, bekommt also u.U. dann einfach ein unpassendes Zertifikat und damit die entsprechende Zertifikatswarnung.

Weil nach dem TLS-Handshake kommt ja das normale HTTP Protokoll, und da wird dann nochmal der Host: Header gesendet. Der Webserver kann also schon die richtige Seite servieren.

Beispiel zur Illustration:

Bei deiner Webseite risknet.de passt das alles. Per SNI alles perfekt. Wenn man allerdings über
https://5.9.30.49 reingeht, bekommt man ein Zertifikat für dav.beme-it.de und eine Standard-Webseite.

Die Risknet.de ist also NICHT der erste Virtualhost auf 443.

Kommt bei Risknet.de im Model S Browser eine Zertifikatswarnung und die richtige Seite? Kommt bei https://5.9.30.49 eine Zertifikatswarnung und die Beispielwebseite?

Wenn ja, kann der Model S Browser definitiv kein SNI.

Liegt es vielleicht an der Apache-Config bzgl. SNI? Ich weiß nicht ob Thorsten Zugriff auf die Apache-Config auf dem Strato-Server hat, ansonsten könnte man da nochmal ansetzen.


Ja. Wie ich geschrieben habe, tff-forum.de zum ersten Virtualhost für 443 machen und SSLStrictSNIVHostCheck ausschalten. Dann sollte er bei Browsern die TLS 1.0 können aber kein SNI korrekt ausliefern.

Das Tesla mal diesen antiquierten Browser updaten könnte, ist eine andere Geschichte ...

Grüße, Andreas
Model S90D aus Juni 2016, weiß, 19 Zöller, AP1, ...
 
Beiträge: 378
Registriert: 17. Mär 2016, 10:24

Re: Https

von Guillaume » 23. Mär 2016, 21:39

Du hast bestimmt recht.
Der Browser führt den Connect ohne SNI durch, er bekommt nicht das passende Zertifikat zur Domain und zeigt die Warnung an. Nach Bestätigung der Warnung wird trotzdem über HTTP die richtige Domain angefragt und serviert.
Kann das heute nicht mehr prüfen, mache ich mal bei Gelegenheit.

Dann wird wohl in der Config des TFF-Servers SSLStrictSNIVHostCheck gesetzt sein, was dazu führt dass die Verbindung serverseitig unterbrochen wird -> Im Browser erscheint "Webseite nicht verfügbar".

EDIT: Dein EDIT hat sich jetzt mit meinem Beitrag überschnitten.
 
Beiträge: 2688
Registriert: 24. Jan 2015, 22:10

Re: Https

von Thorsten » 25. Mär 2016, 12:40

Aufgrund der aktuellen Verbindungsprobleme mit HTTPS (seit 25.03.2016 ca. 10:30 Uhr) haben wir die automatische Umleitung auf HTTPs vorerst ausgeschaltet.

Ihr könnt natürlich weiterhin manuell per HTTPS zugreifen, wenn die technischen Probleme seitens unseres Hosters behoben sind.
Kostenlose Supercharger-Nutzung bei Bestellung eines Model S oder X mit dem Empfehlungslink des TFF Forums.
Benutzeravatar
Moderator
 
Beiträge: 3264
Registriert: 22. Apr 2011, 19:45
Wohnort: Mülheim a.d. Ruhr

Re: Https

von ensor » 24. Apr 2016, 03:55

Ab wann wird es die automatische Umleitung wieder geben? :)
Tesla Model S 85D seit Mai 2015, > 65.000 km
BMW i3 94Ah seit November 2016, > 9.500 km
Benutzeravatar
 
Beiträge: 3237
Registriert: 14. Dez 2014, 14:51

VorherigeNächste

Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste