staging.inyokaproject.org

Hi. Auf einem frischen 22.04 läuft ein frisch installierter Certbot.

certbot --apache

...

You have an existing certificate that contains a portion of the domains you
requested (ref: /etc/letsencrypt/renewal/domain.conf)

It contains these names: domain.de

You requested these names for the new certificate: domain.de,
www.domain.de.

Do you want to expand and replace this existing certificate with the new
certificate?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(E)xpand/(C)ancel: E
Renewing an existing certificate for domain.de and www.domain.de

Successfully received certificate.
Certificate is saved at: /etc/letsencrypt/live/domain.de/fullchain.pem
Key is saved at:         /etc/letsencrypt/live/domain.de/privkey.pem
'''This certificate expires on 2023-07-07.'''
These files will be updated when the certificate renews.
Certbot has set up a scheduled task to automatically renew this certificate in the background.

Deploying certificate
Successfully deployed certificate for domain.de to /etc/apache2/sites-enabled/domain-le-ssl.conf
Successfully deployed certificate for www.domain.de to /etc/apache2/sites-enabled/domain-le-ssl.conf
Your existing certificate has been successfully renewed, and the new certificate has been installed.

Certbot sagt alles ok.

Im SSL report gibt's dennoch Fehlermeldungen, wie die screenshots zeigen. Chrome sagt, die Domain ist sicher. Firefox und Safari sagen die Domain ist unsicher. Für Tipps bin ich dankbar.

bolshi schrieb:

Im SSL report gibt's dennoch Fehlermeldungen, wie die screenshots zeigen.

Bei DROWN steht da "internal error" und einige alte iOS Geraete koennen sich wegen deren Alter nicht verbinden, auch das ist erwartet.

Firefox und Safari sagen die Domain ist unsicher.

Was sagen die genau?

sebix schrieb:

Firefox und Safari sagen die Domain ist unsicher.

Was sagen die genau?

Firefox Technische Details Verbindung nicht verschlüsselt Die Website unterstützt keine Verschlüsselung für die Seite, die Sie ansehen. Informationen, die ohne Verschlüsselung über das Internet gesendet werden, können während der Übertragung von anderen Personen angesehen werden.

Chrome Verbindung ist sicher Deine Daten wie Passwörter oder Kreditkartennummern sind geschützt, wenn du sie an diese Website sendest.

Safari sagt auch, dass die Site unsicher ist. Bis dato hab ich da keine Möglichkeit gefunden, Ausführlicheres zu lesen. Caches sind bei allen Browser geleert. Bei Chrome und Firefox hab ich auch mit privaten Fenstern getestet. Ergebnis bleibt gleich. Chrome sagt Site ist sicher. An die andern beiden behaupten das Gegenteil.

bolshi schrieb:

Firefox Technische Details Verbindung nicht verschlüsselt

Verwendest du HTTP anstatt HTTPS?

sebix schrieb:

Verwendest du HTTP anstatt HTTPS?

Cooler Tipp. Chrome öffnet https, Firefox und Safari http

Hier die conf files:

domain.conf

<VirtualHost *:80>
    ServerName domain.de
    ServerAlias www.domain.de
    DocumentRoot /var/www/html/domain
    <Directory /var/www/html/domain>
        Options FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
        RewriteEngine on
        RewriteCond %{SERVER_NAME} =domain.de
        RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>

domain-le-ssl.conf

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ServerName domain.de
    ServerAlias www.domain.de
    DocumentRoot /var/www/html/domain
    <Directory /var/www/html/domain>
        Options FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
        RewriteEngine on

        Include /etc/letsencrypt/options-ssl-apache.conf
        SSLCertificateFile /etc/letsencrypt/live/domain.de/fullchain.pem
        SSLCertificateKeyFile /etc/letsencrypt/live/domain.de/privkey.pem
  </VirtualHost>
</IfModule>

Wobei Certbot die "domain-le-ssl.conf" schreibt.

Hab den Apache nochmal neu gestartet und alle Browser Caches gelöscht. Safari und Chrome öffnen die Domain fehlerfrei mit https. Firefox öffnet die Site auch mit https. Sagt allerdings immer noch, dass die Site nicht sicher ist.

Ich sehe hier keine Weiterleitung von http zu https. Wenn du das willst, musst du das auch entsprechend konfigurieren.

Folgendes im conf file hinzugefügt:

        RewriteCond %{HTTPS} !on
        RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Genau die Zeilen hat der certbot beim ersten Durchlauf per # deaktiviert. Dachte ok, der wird wissen was er tut. Hab sie aktuell wieder drin. Sicherheitshalber im Firefox nochmal den kompletten Cache geleert. Ergebnis bleibt gleich. Aber auch eben nur Firefox schmeisst den Fehler.

bolshi schrieb:

Aber auch eben nur Firefox schmeisst den Fehler.

Da steht jetzt aber was anderes als bisher. Nun werden Elemente in der Website (HTML) mit http:// eingebunden, also "unsicher" geladen.