SSL / HTTPS Probleme

ramses · 30 Juli 2017, 20:22:11

Hi,

folgendes sehe ich seit einiger Zeit im Log und wegen dieser Probleme werden die Zugriffe sehr verlangsamt im Browser durchgeführt.

Code Auswählen

FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

ich habe versucht die https komplett neu zu machen lt Anleitung hier https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS jedoch beim Schritt

Code Auswählen

sudo chmod 644 /opt/fhem/certs/*.pem kommt die Fehlermeldung

Code Auswählen


chmod: Zugriff auf ,,/opt/fhem/certs/*.pem" nicht möglich: Datei oder Verzeichnis nicht gefunden

bin unter user pi eingeloggt.

ich vermute ein Rechte-Problem jedoch weiss ich nicht was nicht passt.
bitte um Hilfe!
Danke!

ramses · 30 Juli 2017, 20:23:49

certs Inhalt

Code Auswählen

-rw-r--r-- 1 fhem dialout 1375 Jul 30 19:34 server-cert.pem
-rw-r--r-- 1 fhem dialout 1704 Jul 30 19:34 server-key.pem

RaspiLED · 30 Juli 2017, 20:52:51

Hi,
Das ist ja komisch, da Du durch sudo ja alle Rechtehaben solltest. Egal probiere mal:
sudo bash
cd /opt/fhem/certs
chmod 644 *.pem
chown fhem:dialout *.*
exit

Gruß Arnd

Raspi2 mit FHEM, CUL, Signalduino, MySensors, HomeBridge, Presence, Bravia, ...

ramses · 30 Juli 2017, 21:25:25

danke! es hat funktioniert, trotzdem besteht das Problem mit SSL
zusätzlich sehe ich dass https in Chrome in der Adressleiste durchgestrichen ist (Verbindung nicht sicher)

manche Links in Fhem funktionieren, manche lösen eine Überlastung aus, weil die Lese/Schreib LED des PIs leuchtet dann für 15-20 sek durchgehend grün und fhem ist nicht mehr erreichbar. Nach dieser Zeit ist Fhem für weitere 2-3 Linkclicks normal zu verwenden dann wieder die Blockade.
Im log erscheinen dann immer SSL Problemlogs

Code Auswählen

FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

amenomade · 31 Juli 2017, 01:36:33

Siehe https://forum.fhem.de/index.php?topic=61511.0

ramses · 31 Juli 2017, 08:22:00

und was soll die Lösung sein?
bei mir passiert das Ganze browserunabhängig. Als einzige Lösung sehe ich HTTPS OFF? kann aber nicht sein, oder?

warum hat das bisher funktioniert? und es scheint so aus, dass ich nicht der einzige bin.

dev0 · 31 Juli 2017, 11:04:04

Hast Du das Attribut sslVersion (für global und/oder FHEMWEB) gesetzt?

ramses · 31 Juli 2017, 19:41:16

für FHEMWEB ja

Code Auswählen

sslVersion TLSv12:!SSLv3

für global nicht

dev0 · 31 Juli 2017, 21:08:18

Lösch das mal (testweise).

amenomade · 01 August 2017, 00:23:04

Zitatund was soll die Lösung sein?

Mit einer höhere Version von Perl, wie im verlinkten Thread erwähnt, hättest Du mindestens eine bessere Idee, was das Problem sein kann.

dtavb · 01 August 2017, 07:53:21

Hoi,

@ramses:
hast Du das Zertifikat unter Zertifikatsverwaltung (Computer) unter Windows importiert? Also die CA?
Wenn Du selbst eines erstellst, kann dein System immer noch nicht verifzieren ob das Zertifikat gültig ist. Solange eine CA fehlt, die dein System kennt.
Chrome, Edge und IE greifen auf den Windows-Zert-Speicher zurück, Firefox hat seinen eigenen Zert-Speicher.

Zudem müssen die X.509 Attribute für Alias/DNS und CA-Infos seit einigen Wochen(Monaten) in den meisten Browsern gesetzt sein.
Der common-name reicht nicht mehr.

Das liegt aber nicht an dem Handshake Thema. Das habe ich auch massiv gehabt und manchmal immer noch in fhem.
Ich untersuche das noch. Zwischendurch habe ich alle Zertifikate wegen dem x.509 Optionen neu erstellen müssen, seitdem kommt der Fehler nur noch selten.

Kann Dir nur empfehlen, lass die Finger von dem Linux-CLI Zertifikatserstellungen je System.
Schaue Dir mal XCA an, erstelle Dir eine eigene CA (alles Windows-basiert und hübsch beschrieben), erstelle je System darin deine signierten Zertifikate&Schlüssel.
XCA funktioniert wie Keypass (Passwort-Manager), eben nur für Zertifikate und Deine CA hast Du auch gleich und kannst alles in allen Formaten exportieren.
Dieses CA-Zertifikat importierst Du auf Deinen PCs und Du hast keine Probleme mit unsicheren Verbindungen mehr.

Und das ganze hübsch in einer GUI und zentralisiert!

Dann fällt es Dir auch leichter zu testen.

ramses · 01 August 2017, 21:18:05

Zitat von: dev0 am 31 Juli 2017, 21:08:18
Lösch das mal (testweise).

habe ich, keine Besserung

wie mache ich das richtig? Ich habe mit

Code Auswählen

$ sudo apt-get upgrade
versucht, hat eine Menge an Updates unter anderem auch die Perl Version aber beim Booten von pi kommt nach dem Update und Reboot

Code Auswählen

fhem.pl:14634/2017-07-03 perl:5.020002

habe auch

Code Auswählen

perl -v
ausgeführt und die Antwort war

Code Auswählen

This is perl 5, version 20, subversion 2 (v5.20.2)
sollte passen, oder?
jedoch keine Besserung, eigentlich eine Verschlechterung: im FHEM web wird das FHEM Logo nicht mehr angezeigt

@dtavb: klingt nachvollziehbar, aber warum hat vorher funktioniert, bzw. was hat dazu geführt nicht zu funktionieren. Klar, ich möchte es reparieren, aber auch verstehen warum/was anders ist.

amenomade · 01 August 2017, 22:31:47

Zitatsollte passen, oder?
jedoch keine Besserung, eigentlich eine Verschlechterung: im FHEM web wird das FHEM Logo nicht mehr angezeigt

Ja, sollte passen.
Aber die Verschlechterung verstehe ich nicht. Ich habe auch die 5.20.2 aber das Logo auch.

Und wie sieht jetzt die SSL Fehlermeldung aus?

ramses · 01 August 2017, 23:00:36

@amenomade: leider unverändert

ich versuche jetzt den Vorschlag von @dtavb, einzig steht nirgendwo in was für Format das Zertifikat und Key aus XCA exportiert werden soll.
Auf dem pi ist der Server Zertifikat und Key separat. Ist die Key verschlüsselt oder nicht?

amenomade · 01 August 2017, 23:14:27

Komisch.. der sollte sagen wo der Fehler passiert. Gibt es keinen anderen SSL Error in der Log?