FHEMWEB SSL/HTTPS Probleme

Gasmast3r · 20 März 2019, 23:16:00

Hallo Leute habe folgende Fehler Meldungen


FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer:

Chrome Browser Windows oder Android 

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed (peer:

Internet Explorer

habe ein neues Zertifikat erstellt open SSL upgedatet

aber leider brachte das alles kein erfolg.

ich meine es seit dem Problem Update zu haben mit der AttrTemplates Datei.

ich bin mit meinem Anfänger wissen am ende und frage mal hier nach Hilfe.

list WEB

Code Auswählen


Internals:
   CONNECTS   421
   CSRFTOKEN  csrf_985235895516687
   DEF        8083 global
   FD         7
   FUUID      5c45f64d-f33f-d221-8c77-10f48b67e907cbcc
   NAME       WEB
   NR         6
   NTFY_ORDER 50-WEB
   PORT       8083
   SSL        1
   STATE      Initialized
   TYPE       FHEMWEB
   READINGS:
     2019-03-18 10:30:02   state           Initialized
Attributes:
   HTTPS      1
   JavaScripts codemirror/fhem_codemirror.js
   codemirrorParam { "lineErapping": true, "height":"auto"}
   confirmDelete 0
   iconPath   openautomation:fhemSVG:default
   longpoll   1
   mainInputLength 80
   menuEntries Update,cmd=update,UpdateCheck,cmd=update+check
   styleData  {
 "f18": {
  "Pinned.menu": "true",
  "cols.bg": "191917",
  "cols.fg": "000000",
  "cols.link": "278727",
  "cols.evenrow": "57574e",
  "cols.oddrow": "9e9e8e",
  "cols.header": "919182",
  "cols.menu": "ebf3ff",
  "cols.sel": "171fff",
  "cols.inpBack": "e6e6e6",
  "savePinChanges": true,
  "rightMenu": false,
  "hideLogo": true,
  "hideInput": false,
  "hidePin": false,
  "fixedInput": false,
  "showDragger": true,
  "Pos.style_list_Styles": {
   "left": 2.333343505859375,
   "top": 1.3333358764648438,
   "width": 255,
   "height": 293,
   "oTop": 20,
   "oLeft": 0
  },
  "Pos.style_list_f18_special": {
   "left": -1.65277099609375,
   "top": 359.34722900390625,
   "width": 257,
   "height": 141,
   "oTop": 40,
   "oLeft": 0
  },
  "Pos.style_list_f18__Room_specific": {
   "left": 1.333343505859375,
   "top": 474.66668701171875,
   "width": 257,
   "height": 367,
   "oTop": 40,
   "oLeft": 0
  },
  "snapToGrid": false,
  "wrapcolumns": false
 }
}
   stylesheetPrefix dark
   title      { if ($FW_room) { "LIVE: $FW_room" } elsif ($FW_detail) { "LIVE: $FW_detail" } else { "LIVE FHEM" } }

list allowed_WEB

Code Auswählen


Internals:
   FUUID      5c45f64d-f33f-d221-623c-5716cbf3191a7d7d
   NAME       allowed_WEB
   NR         7
   STATE      validFor:WEB
   TYPE       allowed
   validFor   WEB
   READINGS:
     2019-03-20 23:02:34   lastAuthExpires 1553724154
     2019-03-20 23:02:34   lastAuthExpiresFmt Wed, 27 Mar 2019 22:02:34 GMT
     2019-03-20 23:02:34   lastAuthUser    XXXXXXXXX
     2019-03-20 10:29:19   state           validFor:WEB
Attributes:
   basicAuth  XXXXXXXXXXXXX
   basicAuthExpiry 7
   validFor   WEB

CoolTux · 20 März 2019, 23:31:01

Zitat von: Gasmast3r am 20 März 2019, 23:16:00
Hallo Leute habe folgende Fehler Meldungen
Code Auswählen Erweitern
FHEMWEB SSL/HTTPS error: SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: Chrome Browser Windows oder Android FHEMWEB SSL/HTTPS error: SSL accept attempt failed (peer: Internet Explorer

habe ein neues Zertifikat erstellt open SSL upgedatet

aber leider brachte das alles kein erfolg.

ich meine es seit dem Problem Update zu haben mit der AttrTemplates Datei.

ich bin mit meinem Anfänger wissen am ende und frage mal hier nach Hilfe.

list WEB
Code Auswählen Erweitern
Internals: CONNECTS 421 CSRFTOKEN csrf_985235895516687 DEF 8083 global FD 7 FUUID 5c45f64d-f33f-d221-8c77-10f48b67e907cbcc NAME WEB NR 6 NTFY_ORDER 50-WEB PORT 8083 SSL 1 STATE Initialized TYPE FHEMWEB READINGS: 2019-03-18 10:30:02 state Initialized Attributes: HTTPS 1 JavaScripts codemirror/fhem_codemirror.js codemirrorParam { "lineErapping": true, "height":"auto"} confirmDelete 0 iconPath openautomation:fhemSVG:default longpoll 1 mainInputLength 80 menuEntries Update,cmd=update,UpdateCheck,cmd=update+check styleData { "f18": { "Pinned.menu": "true", "cols.bg": "191917", "cols.fg": "000000", "cols.link": "278727", "cols.evenrow": "57574e", "cols.oddrow": "9e9e8e", "cols.header": "919182", "cols.menu": "ebf3ff", "cols.sel": "171fff", "cols.inpBack": "e6e6e6", "savePinChanges": true, "rightMenu": false, "hideLogo": true, "hideInput": false, "hidePin": false, "fixedInput": false, "showDragger": true, "Pos.style_list_Styles": { "left": 2.333343505859375, "top": 1.3333358764648438, "width": 255, "height": 293, "oTop": 20, "oLeft": 0 }, "Pos.style_list_f18_special": { "left": -1.65277099609375, "top": 359.34722900390625, "width": 257, "height": 141, "oTop": 40, "oLeft": 0 }, "Pos.style_list_f18__Room_specific": { "left": 1.333343505859375, "top": 474.66668701171875, "width": 257, "height": 367, "oTop": 40, "oLeft": 0 }, "snapToGrid": false, "wrapcolumns": false } } stylesheetPrefix dark title { if ($FW_room) { "LIVE: $FW_room" } elsif ($FW_detail) { "LIVE: $FW_detail" } else { "LIVE FHEM" } }

list allowed_WEB

Code Auswählen Erweitern
Internals: FUUID 5c45f64d-f33f-d221-623c-5716cbf3191a7d7d NAME allowed_WEB NR 7 STATE validFor:WEB TYPE allowed validFor WEB READINGS: 2019-03-20 23:02:34 lastAuthExpires 1553724154 2019-03-20 23:02:34 lastAuthExpiresFmt Wed, 27 Mar 2019 22:02:34 GMT 2019-03-20 23:02:34 lastAuthUser XXXXXXXXX 2019-03-20 10:29:19 state validFor:WEB Attributes: basicAuth XXXXXXXXXXXXX basicAuthExpiry 7 validFor WEB

Wie hast Du denn genau das Zertifikat erstellt?

Gasmast3r · 20 März 2019, 23:38:20

Nach Anleitung im FHEM Wiki

Gesendet von meinem SNE-LX1 mit Tapatalk

Gasmast3r · 20 März 2019, 23:55:12

Habe es eben noch mal versucht sogar den certs Ordner vorher gelöscht und shutdown restart gemacht brachte auch keine Besserung.
Nutze Debian 9 auf einem Intel Atom Nettop

Gesendet von meinem SNE-LX1 mit Tapatalk

CoolTux · 21 März 2019, 06:31:55

Gib mal bitte ein Link zum Wiki

Gasmast3r · 21 März 2019, 07:54:13

https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS

Gesendet von meinem SNE-LX1 mit Tapatalk

rudolfkoenig · 21 März 2019, 09:51:14

ZitatFHEMWEB SSL/HTTPS error: SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer:

Generell: die Fehlermeldungen der verwendeten openSSL Bibliothek sind fuer mich unverstaendlich, und ich kenne keine Alternativen.

Die Vorschlaege aus dem Internet (wenn man nach die Fehlermeldung sucht) sind nicht vielversprechend:
- Client-Zertifikat-Pruefung schlaegt fehl: das ist in FHEM per Voreinstellung nicht aktiviert, ich gehe davon aus, dass Du das auch nicht gemacht hast.
- Die akzeptierten Protokolle sind inkompatibel: hast du das sslVersion Attribut (global oder FHEMWEB) gesetzt?
- CA-Zertifikate fehlen (mag sein, aber dann wird das Problem nicht in FHEM gemeldet, sondern im Browser).

Zitatich meine es seit dem Problem Update zu haben mit der AttrTemplates Datei.

Das kann ich mit grosser Wahrscheinlichkeit ausschliessen.

Gasmast3r · 21 März 2019, 09:58:58

Hallo das Problem habe ich seit ich manuell die Datei Tauschen musste um auf FHEM zuzugreifen.

Seit ich FHEM mit HTTPS nutze, kommt ab und an mal der Hinweis im Browser das die Seite nicht sicher sei aber ohne Fehlermeldung im log.
Wie geschrieben habe ich alle Punkte im verlinkten Wiki nochmal abgearbeitet.

Das die Fehler HTTPS/SSL nie eindeutig sind habe ich auch gelesen.

Gesendet mit Tapatalk

WhyTea · 31 März 2019, 11:02:18

Hallo
Ich hänge mich hier mal dran.
Ich habe die Meldung auch. Allerding erst seit dem ich auf Fully 1.30 (73.0.3683.90)upgedatet habe.
Weitere untersuchungen ergaben das die Meldung sowohl mit dem aktuellen Fully als auch Firefox und Chrome erscheint.

Ich habe allerdings noch ein altes Nexus7 Tablet mit einer veralteten Webview Version (66.0.3359.139) dort erscheint die Melung in Verbindung mit Fully 1.30 nicht.

Ich weis nicht ob das hilft. $:-\$

Bei der Gelegenheit habe ich noch eine Frage.
Was muss ich tun um den Zugriff per HTTP wieder zu ermöglich? Das umstellen von HTTPS von 1 auf 0 reicht scheinbar nicht.

Gruß
Daniel

WhyTea · 08 April 2019, 11:14:40

Ich mach das wirklich nicht gerne aber ich möchte das Thema nochmal pushen. $:-\$

Nach wie vor habe ich täglich dutzende dieser Meldungen im Log.

Code Auswählen

2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)
2019.04.08 07:41:52 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown (peer: 192.168.6.137)

list WEB:

Code Auswählen

Internals:
   CONNECTS   2127
   CSRFTOKEN  csrf_307992095283465
   DEF        8083 global
   FD         6
   FUUID      5c46c491-f33f-a5a6-edb2-59e3331b6bc1b691
   NAME       WEB
   NR         17
   NTFY_ORDER 50-WEB
   PORT       8083
   SSL        1
   STATE      Initialized
   TYPE       FHEMWEB
   READINGS:
     2019-04-03 13:00:05   state           Initialized
Attributes:
   HTTPS      1
   JavaScripts codemirror/fhem_codemirror.js
   codemirrorParam { "lineWrapping":true, "height":"auto","theme":"blackboard", "lineNumbers":true }
   editConfig 1
   fwcompress 1
   hiddenroom AlarmRoom
   longpoll   1
   mainInputLength 98
   plotfork   1
   room       Zentralsysteme->System
   sortRooms  Graphen Carport Garten
   sslVersion TLSv12:!SSLv3
   stylesheetPrefix dark
   title      { if ($FW_room) { "FHEM: $FW_room" } elsif ($FW_detail) { "LIVE: $FW_detail" } else { "FHEM HOME" } }

Ich habe verschiedene Clients ausprobiert.
- bei meinem Windows10-PC mit Firefox und Chrome erscheint die Meldung nicht
- bei meinem "alten" Nexus 7 mit LinageOS und Webview 66.0.3359.139 erscheint die Meldung nicht
- bei meinem Huawei Mediatab T3 (KOB-W09) und Webview 73.0.3683.90 mit Fully, Chrome und Firefox erscheint die Meldung
- auch bei meinem Samsung Tab A6 (T580) und meinem Galaxy S7 mit Fully, Chrome und Firefox erscheint die Meldung
Natürlich ändert sich die genannte Peer-IP-Adresse.

Da mein Fhem nur lokal erreichbar ist könnte ich durchaus auf HTTPS verzichten.
Wenn ich beim FHEMWEB Device das Attribut HTTPS von 1 auf 0 umstelle und ein "shutdown restart" abschicke hat das aber nicht den erwarteten Effekt.

Nach wie vor kann ich nur https://192.168.6.113:8083/fhem erreichen und nicht http://192.168.6.113:8083/fhem
Interessanterweise kann ich dann das TabletUI nicht mehr per https erreichen allerdings auch nicht per http.

Aufgefallen ist mir dabei das sich beim FHEMWEB Device das Internal SSL nicht ändert. Das Internal SSL bleibt auf 1.
Auch wenn ich den Zertifikatsordner /opt/fhem/certs lösche und erneut "shutdown restart" abschicke kann ich http://192.168.6.113:8083/fhem nicht erreichen.
Allerdings kann ich dann https://192.168.6.113:8083/fhem auch nicht mehr erreichen.

Hat dazu jemand vielleicht eine Idee?

Gruß
Daniel

rudolfkoenig · 08 April 2019, 11:21:39

https://forum.fhem.de/index.php/topic,61511.msg927940.html#msg927940

WhyTea · 08 April 2019, 11:26:38

Zitat von: rudolfkoenig am 08 April 2019, 11:21:39
https://forum.fhem.de/index.php/topic,61511.msg927940.html#msg927940

Danke für die schnelle Antwort habe mir direkt ein Lesezeichen gesetzt um das weiter zu verfolgen.

Kannst Du mir denn sagen wie ich HTTPS generell wieder abschalten kann?

rudolfkoenig · 08 April 2019, 11:28:41

Aktivieren kann man HTTPS mit dem Attribut jederzeit, nach dem Entfernen des Attributes braucht man aber ein FHEM-Neustart.

Der certs Ordner wird fuer HTTPS benoetigt, wenn er nicht da ist, bekommt man im Browser und im FHEM-Log jeweils eine Fehlermeldung, egal ob mit HTTP oder HTTPS.

WhyTea · 08 April 2019, 14:05:11

Ich habe das Attribut HTTPS auf 0 gesetzt und ein shutdown restart gemacht.
Also genau das was Du gesagt hast aber nach wie vor ist fhem per https errreichbar und nicht per http.

Ich sehe nicht wo der Fehler ist.

list WEB:

Code Auswählen

Internals:
   CONNECTS   47
   CSRFTOKEN  csrf_931061334944909
   DEF        8083 global
   FD         6
   FUUID      5c46c491-f33f-a5a6-edb2-59e3331b6bc1b691
   NAME       WEB
   NR         17
   NTFY_ORDER 50-WEB
   PORT       8083
   SSL        1
   STATE      Initialized
   TYPE       FHEMWEB
   READINGS:
     2019-04-08 13:57:30   state           Initialized
Attributes:
   HTTPS      0
   JavaScripts codemirror/fhem_codemirror.js
   codemirrorParam { "lineWrapping":true, "height":"auto","theme":"blackboard", "lineNumbers":true }
   editConfig 1
   fwcompress 1
   hiddenroom AlarmRoom
   longpoll   1
   mainInputLength 98
   plotfork   1
   room       Zentralsysteme->System
   sortRooms  Graphen Carport Garten
   sslVersion TLSv12:!SSLv3
   stylesheetPrefix dark
   title      { if ($FW_room) { "FHEM: $FW_room" } elsif ($FW_detail) { "LIVE: $FW_detail" } else { "FHEM HOME" } }

WhyTea · 08 April 2019, 14:08:01

Au man! Wer lesen kann ist klar im Vorteil.

Zitat von: rudolfkoenig am 08 April 2019, 11:28:41
Aktivieren kann man HTTPS mit dem Attribut jederzeit, nach dem Entfernen des Attributes braucht man aber ein FHEM-Neustart.

Ich habe jetzt das Attribut HTTPS entfernt und nicht nur auf 0 gesetzt. Jetzt geht es wie erwartet.
Was bewirkt dann HTTPS 0 ?