Discussion:
TLS - Trouble mit dem Open-News-Network
(zu alt für eine Antwort)
Michael Uplawski
2023-08-18 13:33:55 UTC
Permalink
Supersedes wegen mews gegen news

Holdrio.

Welche Funktion haben die Aliase des open-news-network?

Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.

Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.

Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?

Cheerio.
Michael
--
Es ist an der Zeit
Thomas Hochstein
2023-08-18 20:41:17 UTC
Permalink
Post by Michael Uplawski
Welche Funktion haben die Aliase des open-news-network?
Keine technische, die etwas mit Newsservern zu tun hätte.
Post by Michael Uplawski
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Naja, dann wird das Zertifikat für diese Namen nicht gelten. Auch da sehe
ich nicht, was das mit Newsserver-Software zu tun hätte.
Post by Michael Uplawski
Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?
Das ist eine Frage, die am ehesten der Betreiber beantworten kann.
Ansonsten wäre sie wohl in de.comm.provider.usenet on-topic.
Henning Hucke
2023-08-22 05:51:30 UTC
Permalink
Post by Michael Uplawski
Holdrio.
Dideldu.
Post by Michael Uplawski
Welche Funktion haben die Aliase des open-news-network?
Ich verstehe, was Du meinst.

Das sind keine Aliase sondern genau das, als was sie beispielsweise von
einem "openssl 509" ausgewiesen werden: Subject Alternative Names (SANs).
Das mag sich erbsenzählerisch anhören, macht aber einen nicht
unwesentlichen Unterschied. Ähnlich, wie DNS CNAME RRs keine "aliases"
sind :-|.
Post by Michael Uplawski
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
dass er diese ignorieren soll respektive ausschliesslich den CN im
Subject akzeptieren soll, mag aber auch einfach nur sein, dass die Let's
Encrypt Root CA (noch) nicht in Deinem Trusted Certificate Store
enthalten ist.

Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.

Vor einiger Zeit hatte Let's Encrypt sein Root Certificate umgestellt,
weil - so meine ich mich zu erinnern - u.a. deprecated MACs raus fliegen
sollten. Und die Art und Weise, wie Sie das getan haben, hat älteren
openssl-Versionen Probleme bereitet. Diese Sache wäre noch Klarungswürdig.
Post by Michael Uplawski
[...]
Mit freundlichem Gruß
Henning
--
Never worry about theory as long as the machinery does what it's supposed to do.
-- R. A. Heinlein
Heiko Schlichting
2023-08-22 15:51:27 UTC
Permalink
Post by Henning Hucke
Post by Michael Uplawski
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
Es wird vermutlich eher daran liegen, dass die Namen des
"Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
eingetragen sind.
Post by Henning Hucke
Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.
Eingetragen sind:

CN: mb-net.net
SAN: dNSName=*.intranet.mb-net.net
SAN: dNSName=*.mb-net.net
SAN: dNSName=*.mx.mb-net.net
SAN: dNSName=mb-net.net

Nichts davon passt auf news1.open-news-network.org oder
news6.open-news-network.org --> Zertifikatsfehler.

Heiko
Henning Hucke
2023-08-23 05:41:57 UTC
Permalink
Heiko Schlichting <***@cis.fu-berlin.de> wrote:

Hallo Heiko.
Post by Heiko Schlichting
Post by Michael Uplawski
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
[...]
Es wird vermutlich eher daran liegen, dass die Namen des
"Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
eingetragen sind.
[...]
CN: mb-net.net
SAN: dNSName=*.intranet.mb-net.net
SAN: dNSName=*.mb-net.net
SAN: dNSName=*.mx.mb-net.net
SAN: dNSName=mb-net.net
Nichts davon passt auf news1.open-news-network.org oder
news6.open-news-network.org --> Zertifikatsfehler.
Der Original Poster (OP) schrub lediglich den zitierten vollständigen
(DNS-) Namen und die "alternativen Service-Namen" "news1" und "news6".
Der fqdn ist genau so auflösbar, jene mit den alternativen Service-Namen
statt "news" in der Tat nicht.

Solche Schuhe ziehe ich mir nicht mehr an. Wer unpräzise Fragen stellt,
bekommt unpräzise Antworten. Meine Glaskugel zeigt mir (viele?)
Möglichkeiten aber ich teste sicherlich nicht (nicht mehr!) alle ab. Und
selbst wenn ich das tun würde, ist die "richtige" nicht notwendigerweise
mit dabei.
Also: Danke für den Hinweis. Ich denke, dass ich ihn richtig verstehe.
Und folgerichtig an den OP: Bitte stelle Deine Fragen zukünftig mit
besser aufbereiteten Informationen. Ich stecke gerne ein wenig
Gehirnschmalz in das korekte Verständnis von Fragen aber dass ich
mindestens drei fqdns hätte abfragen müssen, um Zweifel an Deiner
Fragestellung zu bekommen, liegt (erst seit enigen Monaten!) nicht mehr
in dem Bereich, den ich bereit bin zu investieren.

Henning
--
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Michael Bussmann
2023-08-23 09:50:25 UTC
Permalink
Moin,
Post by Michael Uplawski
Welche Funktion haben die Aliase des open-news-network?
Nennen wir es: Historisch gewachsen.
Post by Michael Uplawski
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
ACK. Provisorien halten bekanntlich am längsten. Ich habe es gerade
gefixt und stelle mir einen Wecker für November... Danke für den
Hinweis.

Bis die Tage,
MB
--
Michael Bussmann <***@mb-net.net>
Lesen Sie weiter auf narkive:
Loading...