Web-Frontend funktioniert nicht mehr mit SSL.

[Burny4600]

Seit heute funktionieren bei einigen Raspberrys das Web-Frontend nicht mehr.
Soweit aus dem LOG und auch Anhand der FHEM2FHEM Verbindungen sowie den Steuerung ersichtlich ist läuft FHEM.

Es ist nur via Browser Firefox 58.0.2 und IE 11 kein Zugriff mehr möglich.
Das Verhalten in den Browsern ist so als ob FHEM nicht läuft.
Auch ein zurückspielen der Sicherungen bringt keine Änderung.

Der Fehler wird durch eine https Verbindung hervorgerufen.
Nehme ich die https und SSL Definitionen aus der Config heraus kann ich wieder per http auf das Frontend zugreifen aber nur mit dem IE 11 von Windows 7. Am Firefox ist trotzdem kein Zugriff auf http möglich.

Was ich daran nicht verstehe ist das nicht alle Raspberrys davon betroffen sind sondern nur ca. 50%.
Und warum es überhaupt jetzt zu Zugriffsproblemen mit den verwendeten Browsern kommt obwohl schon über Monate der SSL Zugriff funktionierte.

[rudolfkoenig]

Versuch bitte auf dem betroffenen Geraet "attr WEB verbose 5" zu setzen, und das Log hier anzuhaengen.

[Burny4600]

@rudolfkoenig

Anbei das LOG eines der Raspberry mit den https Problem.

Hilfreich wäre wenn diese beiden Seiten überarbeitet werden um auch wirklich einen nahtlosen Übergang zu FHEM zu schaffen.
https://wiki.fhem.de/wiki/FHEM_mit_HTTPS_SSL-Zertifikat_und_eine_eigene_Zertifizierungsstelle
https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

Teilweise sind auch Fehler von der Ursprungseite mit übernommen worden, und die Überleitung zu FHEM ist nicht gerade glücklich gelungen, da auch hier wieder Verwirrungen entstehen was die Zertifikserstellung betrifft die eigentlich schon bei der vorangegangen Erläuterung behandelt wurde.
Auch Erläuterungen zu den Browsern wären notwendig Ergänzungen hilfreich.
Das hat zwar alles nichts mit den eigenartigen Verhalten nichts zu tun das nach einigen Monaten Betrieb einige Raspis plötzlich mit https nicht mehr funktionieren.

[rudolfkoenig]

Das Problem sieht man auch bei verbose 1:
 

2018.02.21 18:23:59.364 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.168.17.46)
2018.02.21 18:24:07.706 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F119:SSL routines:ssl3_get_record:decryption failed or bad record mac (peer: 192.168.17.46)

Die erste Meldung (kam zweimal vor) bedeutet, dass man via HTTP auf die https Seite zugegriffen hat.


Die Zweite ist laut Internet nicht eindeutig, und entweder ist was an der TCP/IP Schnittstelle ungewoehnlich (Stichwort TSO/GSO/GRO) oder Browser und Server konnten bei den Protokollen TLS 1.0 oder SSL 3.0 nicht einig werden. Letzteres kann man in FHEM per global Attribut sslVersion verstellen, default ist TLSv12:!SSLv3 und funktioniert mit einem aktuellen Chrome und Firefox.


Leider bin ich kein Kryptoexperte, und in FHEM Umfeld hat sich auch keiner als solcher geoutetet.
 

[Burny4600]

Die Einstellungen sind bei allen FHEM Konfigurationen gleich.
Das global Attribut sslVersion ist bei allen auf TLSv12:!SSLv3 gestellt.
Nur warum gibt es jetzt mit beiden Browsern keine Zugriffe mehr obwohl per https die Anfrage erfolgt.

Ich hatte auch schon versucht nachträglich nochmals beim aktuellen Firefox die servercert.pem unter Einstellungen -> Datenschutz & Sicherheit -> Zertifikate -> Zertifikate anzeigen -> Zertifikate importieren versucht was nicht funktioniert weil der notwendig Schlüssel dazu fehlt laut Firefox.

Ich habe die Befürchtung das mit den großen Umstellung auf https im WWW werden bei Browsern und Virenprogrammen wahrscheinlich einige Ungereimtheiten noch auftauchen.