Ssl Zugriff über VPN funktioniert nicht mehr

[Tommy82]

Hi, ich greife per Handy mittels vpn auf mein Heimnetzwerk zu und dort dann auch auf Fhem, was ich mit ssl und basAuth abgesichert habe.
Das hat auch immer geklappt, nur neuerdings leider nicht mehr.
Im Fhem log taucht dann das hier auf

Code Auswählen Erweitern

FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown c


Der Zugriff wenn ich direkt im Heimnetzwerk bin klappt problemlos

Einer eine Idee was da schief läuft und wie ich das beheben kann

Danke


Gesendet von iPhone mit Tapatalk

[dev0]

Ich vermute, dass in der Fehlermeldung der letzte Buchstabe fehlt und es ''alert unknown ca" heißen soll.
Wurde der CA vielleicht das Vertrauen entzogen? (StartCom, StartSSL oder Wosign?)

[Tommy82]

Hi, ja der letzte Buchstabe fehlt, sorry.

Also bewusst wurde nichts entzogen.
Wie kann ich das prüfen?


Gesendet von iPhone mit Tapatalk

[dev0]

Also bewusst wurde nichts entzogen.

Browserhersteller u.a. aber schon bei den genannten CAs.

[Tommy82]

Hi, sorry bin da nicht so fit drin, wie kann ich das testen bzw. korrigieren?

Danke

[dev0]

"Unknown CA" kann bedeuten, dass der Zertifizierungsstelle, die Dein Zertifikat unterschrieben hat, nicht _mehr_ vertraut wird. Es könnte auch noch sein, dass der "Common Name" in Deinem Zertifikat nicht dem aufgerufenen Server entspricht. Es könnte auch sein, dass Du ein SHA1 Zertifikat benutzt, dass wegen des schwachen Algorithmus abgelehnt wird. Leider ist diese Fehlermeldung nicht immer ganz eindeutig.

Zertifikate mit openssl testen/ansehen: http://www.cyberciti.biz/faq/test-ssl-certificates-diagnosis-ssl-certificate/
SSL Labs: https://www.ssllabs.com/ssltest/

[Tommy82]

Hi, Danke für die Info, werd nachher mal die links durchgehen. Hab aber mittlerweile rausgefunden das es am Safari Browser auf dem iPhone liegt, denn z.b mit opera auf dem iPhone klappt es problemlos


Gesendet von iPhone mit Tapatalk

[dev0]

Appel hat StartCom/StartSSL das Vertauen entzogen, (die meisten?) Andere(n) werden folgen. Da Du bisher nicht verraten hast woher Dein Zertifikat stammt, ist das als Grund nur geraten.

[Tommy82]

Hab das Zertifikat analog dem fhemwiki erstellt
http://www.fhemwiki.de/wiki/Raspberry_Pi_%26_HTTPS


Gesendet von iPhone mit Tapatalk

[CoolTux]

Dann hat er sich wohl selber das Vertrauen entzogen 
Tipps drauf das das Selbstsignierte Zertifikat nur SHA1 ist.

[Tommy82]

Und was kann/muss ich dann machen?

Bekomme seit heute interessanter weisse auch wenn ich im eigenen Wlan bin mit dem Laptop Log Meldungen:

Code Auswählen Erweitern

2016.11.23 20:17:12.993 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.11.23 20:17:13.302 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.11.23 20:17:13.478 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.11.23 20:17:13.663 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.11.23 20:21:36.891 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems

[CoolTux]

Neues Zertifikat ausstellen

[Tommy82]

Habs dann nochmal wie hier beschrieben neu erstellt, mal sehen ob der Fehler nun weg ist...

[Tommy82]

Also hab das Zertifikat neuerstellt, bekomme aber immer noch im Log diese Meldung:

Code Auswählen Erweitern

2016.11.30 20:42:06.247 1: FHEMWEB SSL/HTTPS error: Connection timed out SSL wants a read first

Code Auswählen Erweitern

2016.11.30 20:48:00.602 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca

Der Zugriff über VPM über Safari klappt immer noch nicht, über Opera aber Problemlos

[dev0]

Vermutlich benutzt Du immer noch SHA-1 (wie oben schon mehrfach geschrieben). Falls ja, dann SHA-256 nehmen.
Schau Dir die Ausgabe von "openssl x509 -in <dein_cert> -text" an.