The certificate is not trusted because it is self-signed

 ( tovis | 2019. október 10., csütörtök - 22:17 )

A jól ismert hiba:
192.168.1.74 uses an invalid security certificate. The certificate is not trusted because it is self-signed. The certificate is only valid for slv10.tovis-lab.port0.org Error code: SEC_ERROR_UNKNOWN_ISSUER

Van erre valami költséghatékony megoldás?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

cacert hozzáadása a gépen a cacerts/trust store-ba?

Köszönöm! Fejtsd ki kicsit részletesebben - nem találok cacerts/trust store -t a gépen :(

* Én egy indián vagyok. Minden indián hazudik.

Mi az elérendő cél? Belső hálózaton jól működő (értem ez alatt böngésző által elfogadott) tanúsítvány kellene, vagy a publikus netről (is) elérhető szolgáltatáshoz kellene bárkinél hitelesnek elfogadott megoldás?

Ha belső hálózatos, akkor minden érintett gépre telepítened kell a kiállító CA tanúsítványát is. Ha nem te állítottad ki, akkor praktikus lenne saját CA-t csinálni először (pl. XCA-val vagy TinyCA-val). Ha internet felől is működnie kell, akkor Let's Encrypt (igyenes), de akkor split DNS-sel vagy hairpin NAT-tal bentről is a külső névvel kell elérned az adott gépet. Belső (végül is privát) tanúsítvány, amit az internet felől is elfogad bármi (extra CA telepítés nélkül), na az nincs ingyen.

Olyan megoldás kellene "amit az internet felől is elfogad bármi (extra CA telepítés nélkül), na az nincs ingyen."
Mint mondtam költség hatékony :)

* Én egy indián vagyok. Minden indián hazudik.

> Olyan megoldás kellene "amit az internet felől is elfogad bármi (extra CA telepítés nélkül), na az nincs ingyen."

https://www.sslforfree.com/

Idézet:
praktikus lenne saját CA-t csinálni

Főleg, hogy privát IP címre hivatkozik - szerintem nincs az a CA, aki egy privát IP címre adjon ki tanúsítványt. Ha viszont saját CA-t csinál, akkor subjectAltName-be beteheti a hostnév mellé az IP címet is.

oda amugy is erdemes berakni a sima domain nevet is, mert a bongeszok megkovetelik

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

LetsEncrypt?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

+1

Ahhoz kell egy olyan domain, ahol a letsencrypt le tudja ellenőrizni, hogy te tudod felrakni oda a tartalmat. Gondolom, privát címnél ez nem oldható meg könnyen.

Lehet wildcard-os cert-et is kérni, ebben az esetben nem számít az ip

A domain ott is, és az Internet felől elérhetőnek kell lennie.

Addig kell elérhetőnek lennie, amíg bizonyítod, hogy a te ellenőrzésed alatt van a domain név, utána már nem kell elérhetőnek lennie és lehet IP cím is benne, mint alternatív név (https://cabforum.org/guidance-ip-addresses-certificates/), de reserved IP address nem lehet itt sem már több éve.

--
https://iotguru.cloud

Ellenőriztem, elérhető (xp nincs benne a hosts fájlban).
Egyébként OpenWRT a router.

* Én egy indián vagyok. Minden indián hazudik.

Kivéve, ha IP címmel akarod elérni.

Én használom, DNS challenge-dzsel nem mágia.

Köszönöm a válaszokat!
Súlyos hiányosságaim vannak a témában:
Privát IP cím - mit kellene értenem ez alatt?
Wildcard certificate - eddig azt találtam, hogy ez több subdomain -re alkalmazható. Vagyis más-más az IP cím de ugyanaz a certificate. Miért jó ez nekem?
Egyébként UPC -nél vagyok cégesen, NINCS fix IP címem de látható a netről vagyis nem egy nat mögött vagyok - úgy tudom ezt hívjuk public ip címnek. Az ip címem szinte nem változik (hónapok telnek el és ugyanaz). A domain név szolgáltatás gyanánt a FreeDNS -t használom (szintén sok éve), ahol egy-egy domain néven többen osztoznak(?) Én speciel port0.org

* Én egy indián vagyok. Minden indián hazudik.

"Privát IP cím"

Olyan IP, ami csak belső hálózaton használható, de publikus Interneten nem. (Kifelé NAT-olni kell.) Ilyen az általad használt 192.168.*.* is.

"Wildcard certificate"

Olyan tanúsitvány ami minden azonos végződésű névre érvényes, tehát pl. a alfa.domain.hu, beta.domain.hu, stb. Akkor érdemes használni ha sok címed van, és nem akarsz mindegyikre külön tanúsitványt kiállítani.

Köszönöm! Így már egy nyelvet beszélünk :)
"Wildcard certificate" - akkor nekem tulajdonképpen ez lehet nekem is jó.

* Én egy indián vagyok. Minden indián hazudik.

Akkor egy internet felől is, CA telepítés nélkül működő tanúsítványra lenne szükséged, ha jól gondolom. Erre teljesen jó a Let's Encrypt szolgáltatás.

Az FQDN-re kell kérni a tanúsítványt úgy, hogy azon az adott FQDN-en legalább ideiglenesen elérhetővé kell válnia a Let's Encrypt kliens web szerverének (tehát a beállított portnak nyitva kell lennie a tűzfalon arra az időre). Az IP cím itt nem is kapna közvetlen szerepet, lényegtelen az értéke mindaddig, amíg az FQDN a jó IP címre mutat. A tanúsítványba nem is kell (és butaság is lenne) bármilyen dinamikusan változó IP címet írni.

Nekem DynDNS-féle "selfip.biz" végződésű FQDN-re van ilyen tanúsítványom, szóval működik a dolog.

Utána úgy tudod a belső hálózatból is hitelesnek láttatni az adott tanúsítvánnyal futó szolgáltatást, hogy bentről is ezzel az FQDN-nel éred el (nagy split DNS vagy hairpin NAT).

Mi az oka annak, hogy nem adsz neki domain nevet és az IP címmel akarod elérni?

--
https://iotguru.cloud

Még csak homokozóban "játszok". Szükségem van a működő szerveremre, csak akkor nyúlnék hozzá, ha egy nap alatt be tudom fejezni - azaz mindent lejegyezni és az alapján telepíteni.

* Én egy indián vagyok. Minden indián hazudik.

Először is tisztázzuk, a hálózaton belül (privát ip címet látok) akarod csak elérni, vagy kívülről is? Miért ip címmel?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Nem akarom IP címmel elérni, van FreeDNS domain nevem, azt akarom elérni.
Onnan indult el a probléma, hogy a nejem nem tudja elérni a levelezést a munkahelyén, mert szigorodtak a szabályok, nincs "kivétel".
(Ezért újítom meg a régi szerverem rendszerét amit egyébként lazább szabályokkal, domain néven, bárhonnan elérek)

* Én egy indián vagyok. Minden indián hazudik.

Egyébként hozzáfér az internethez, de szűrik a webes levelezőket?

Ha egy saját minimál linuxos gépet elérhetővé teszel az interneten és a feleséged be tud oda ssh-zni a munkahelyéről, akkor a putty-ban port forwarddal és a böngészőben socks proxy-val megkerülheti a szűrést.
Lehetséges, hogy az ssh-t a 443-as portra kell tenned hozzá.

rövid leírás:
https://www.proxyrack.com/create-your-own-socks5-proxies-using-ssh-and-putty/

Kivéve, ha ssl felbontás is van a munkahelyen. Akkor nem fog menni.

Sajnos nem épp informatikus. Már a három tagú domain név is gondot okoz.
Böngésző, betűzve a domain és letárolva.

* Én egy indián vagyok. Minden indián hazudik.

Vagy csak allitsunk be a modern kornak megfeleloen egy service-t es ne policy kerulesre buzditsuk az istenadta usereket...

Jó.
Vennék tőlük egy certificatet.
Milyen leírás alapján tudom ezt feltelepíteni Debian 10 apache2 (később OpenVPN)?

* Én egy indián vagyok. Minden indián hazudik.

Bocsánat, de mi a lófasznak akarsz fizetni, amikor van ingyen is? Vállalkozást akarsz rá alapozni és fontos, hogy EV legyen a cert?

--
https://iotguru.cloud

Nem építek rá vállalkozást, viszont szeretném ha a házi szerverem bárhonnan mindenféle biztonsági szitok nélkül elérhető lenne. 5.000,- HUF/év nem tűnik nagy beruházásnak. A Let's Encrypt és a freessl meg rengeteget beszél, de mindenütt kell a kliens interakciója.

* Én egy indián vagyok. Minden indián hazudik.

NetLock esetén is kell interakció, nincs könnyen használható kliensük, szóval kézzel kell mindent intéznek, és ezen felül pénzbe kerül, de te tudod. Egyébként pont NetLock esetén fogsz többször is belefutni abba, hogy nincs mindenhol ott a root CA, de hát magyar seggbe magyar lófaszt ugye.

--
https://iotguru.cloud

Van valami megbízhatóbb a Magyar lóf'sznál?

* Én egy indián vagyok. Minden indián hazudik.

letsencrypt meg certbot, minek bonyolítod?

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Mindkettőnél azt látom, hogy valamit buherál a kliens gépen - NEM tehetem meg.

* Én egy indián vagyok. Minden indián hazudik.

Nem buherál a kliens gépen, akárhol buherál és nem buherál jobban, mint mondjuk az a program, ami majd a levelezésedet intézi, abban miért bízol meg jobban?

Ha meg nagyon tartasz a dologtól, akkor felhúzol egy Docker-t akárhol és abban tárolod a cert-bot dolgait és onnan másolod ki, én például így teszem, mert így a Puppet és az Ansible kimásolja a megfelelő helyekre.

--
https://iotguru.cloud

> Mindkettőnél azt látom, hogy valamit buherál a kliens gépen

???

Nem nyúlhatok bele a kliens gépbe.
A Let's Encrypt elküld a cerbot oldalra és ott egy kliens laptop amihez shell szinten kellene hozzáférni.
A FreeSsl azzal a kérdéssel nyit van e parancssori hozzáférésem vagy sem.
Valamit félreértek?
Nekem szerver oldali megoldás kell.

* Én egy indián vagyok. Minden indián hazudik.

> Valamit félreértek?

Igen.

https://letsencrypt.org/how-it-works/

+1

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Totálisan félreérted. Nem kell belenyúlnod a kliens gépbe. Mind a két megoldás ad egy kényelmes kliens programot, amivel a _saját_ szervereden vagy gépeden tudod karbantartani a cert-eket.

--
https://iotguru.cloud

OK! Újra neki futok.

* Én egy indián vagyok. Minden indián hazudik.

Az egész cuccot a http hoston kell telepíteni, a shell hozzáférés az olyan hostokról szól ami mondjuk egy bérelt virtuális gép vagy egy szerver valahol amit elérhetek mondjuk ssh -n.
A Debian 10 (Buster) hivatalos csomag szinten tartalmazza a certbot -ot, választhatok ngnix vagy ami nekem kell apache plugin -t.

OFF: Ne szedjetek Q10 - pénzkidobás!
Régebben jobban ment a szelektív olvasás (csak ami fontos és kell).

* Én egy indián vagyok. Minden indián hazudik.

Bonyodalom?
Ha jól értem a dokumentációt, akkor a szerverem 80 és 443 portját ki kell tennem a webre?
Van egy nagy kupac dns plugin: dns-cloudfare, dns-digitalocean, dns-simple stb.
Melyik kellhet nekem (pusztán a nevéből a dnssimple -re tippelek) de még nem találtam választ.
SZERK: Lehet hogy a dns -el nem kell foglalkoznom?
Nekem alapvetően csak a saját kis webszerverem azonosítása kell, nem akarom "uralni" a domain -met.

* Én egy indián vagyok. Minden indián hazudik.

Mibol tippelsz a dnssimple-re?

Hogyan tervezed elerni a sajat kis webszervered?
--
HUP Firefox extension | Hupper hibajelentés

Mint írtam a nevéből - olyan egyszerűnek hangzik :)
Tovább olvastam, a dns plugin csak akkor kell ha másnak is akarok certificatet szolgáltatni a domain -en belül. A FreeDNS -hez nem is találtam plugint, illetve a FreeDNS eleve subdomain -t ad (lehet itt bukik az egész).

Nem, csak a kis szerveremnek akarok certificat -et. Úgy tűnik elég lesz a python3-certbot-apache csomag. A certbot oldalon van egy leírás, mondjuk a Debian 9 -hez de remélem a 10 -ben nincs nagy különbség.

* Én egy indián vagyok. Minden indián hazudik.

A dnssimple a domain név szolgáltatóra vonatkozik, bizonyára van API-ja és a certbotot felkészítették rá, hogy tudja azt kezelni, így létrehozni és törölni is tud recordokat.
Tudva levő, hogy nem csak a certbottal lehet letsencrypt certet managelni, hanem például acme.sh is, ami neked azért jó, mert van hozzá freedns támogatás. Így pl. tudsz magadnak certet kérni a letsencrypttől.

A másik megoldás az amit korábban írtál, hogy interneten elérhetővé kell tenned a gépet és a klasszikus challenget használva szerzel certet. (Szerintem a DNS challenge egyszerűbb, de ha eleve elérhető a gép a netről, akkor nem oszt, nem szoroz.)

--
HUP Firefox extension | Hupper hibajelentés

Köszönöm! Nagyon jól néz ki.
A certbot -hoz nagyon jónak tűnő leírása van certbot + Debian 10
Most akkor ez a certbot helyett van?
Ennek nem kell a 80 port?

* Én egy indián vagyok. Minden indián hazudik.

Igen, a certbot helyett van. A challenege-től függően kell vagy nem kell a 80-as port.

Ahogy már mondták is, házi Certificate Authorityt (CA) kellene csinálni, annak a Root-Cert-jét tárolni az egyes böngészőkben 'Megbízható legfelsőbb szintű"-ként.

Ehhez elég az OpenSSL, de sok utanáolvasást és kísérletezést igényel, nem lehet egy-két fórumhozzászólásból megtanulni.

Ha jól emlékszem, én ezzel kezdtem az ismerkedést pár éve: https://jamielinux.com/docs/openssl-certificate-authority/index.html

Ehhez nem lesz jó a házi CA ha a felesége a céges hálózatból akarja https-en elérni.

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Ah so! És még céges HTTPS-proxy is van a történetben?

Total irrelevans. A lenyeg az, hogy amikor asszonypajti kapcsolodik a munkahelyrol @op szolgaltatasahoz akkor a hitelesites ne egy hazilag alairt cert-en menjen mert azt nem engedik be.

Kicsodák nem engedik be? Ahhoz bele kell nézni a SSL-forgalomba, hogy lássák a tanúsítványt, ezért kérdeztem a céges proxyt.

Gondolom managed a browser nem kell belenezni semmibe sima bongeszo policy ami nem fogad el hazibarkacs certet es nem tolti be az oldalt...

De ha megis van proxy annak sincs semmi jelentosege akkor majd eldobja ugyanez a policy a proxyban es egy szep ceges megszexualunk a seggeden keresztul ha megegyszer megnyitod az oldalt uzenetet rak ki a usernek ami az eredmeny szempontjabol lenyegtelen.

Ami teljesen normális eset a legtöbb nagyobb cégnél. Nálunk pl. a proxy meg a hálózati monitoring tool is belenéz.

--

"After successfully ignoring Google, FAQ's, the board search and leaving a undecipherable post in the wrong sub-forum don't expect an intelligent reply."

Ha kell a munkavegzeshez a szemelyes levelezes, akkor kerjen exceptiont, ha nem, akkor pedig vegyen okostelefont. Ha egyik sem opcio, keressen olyan munkahelyet, ahol nem kell a policy-t kerulgetni.

Nem kell itt semmit kerulgetni igy 2020 kuszoben illene tudni azert beallitani egy ssl certet ha mar valaki kilogatja a cuccait a netre...

A Let's Encrypt és a Certbot nem számít "kerülgetésnek"?

OFF: A hiba ott van, hogy ha saját "webmail szervert" üzemeltetsz akkor így az nem megbízhatónak minősül. Holott én egy élő személy vagyok aki >10 éve így kezeli a levelezését. Van lakás és IP címem, utolérhető vagyok minden szinten. De én veszélyeztetem az internet biztonságát, holmi magam által aláírt certificate -el.

* Én egy indián vagyok. Minden indián hazudik.

Bocsánat, de abból, amit eddig előadtál, én azt tudom leszűrni, hogy nagyjából annyit értesz az informatikához, mint a feleséged. Akinek egy SSL cert igénylése ennyire meghaladja a képességeit, inkább ne üzemeltessen semmit, aminek kapcsolata van a külvilággal...

--
https://iotguru.cloud

Érteni az informatikához? - valóban, mint gyengeáramú villamos mérnök bottal csinált vagyok. >10 éve csináltam az első kis szerveremet, azóta nem kellett hozzányúlnom. Mire megint piszkálnom kell a világ nagyot fordult. Mondhatnám idegen.
Egy dolog azonban úgy tűnik változatlan, az arrogancia.

* Én egy indián vagyok. Minden indián hazudik.

"10 éve csináltam az első kis szerveremet, azóta nem kellett hozzányúlnom"

Akkor most azonnal lekapcsolod.

"Mire megint piszkálnom kell a világ nagyot fordult."

Ha bármi kiteszel publikusan elérhetően, akkor nagyjából naponta piszkálni kellene, de hetente minimum frissíteni.

"Egy dolog azonban úgy tűnik változatlan, az arrogancia."

Ja, innen nézve arrogáns vagy. Az ember segít, de lesöpröd azzal, hogy minden és mindenki hülye...

--
https://iotguru.cloud

+1
Kezdődött az egész a dovecot-ra való átállással és a "minek nekem ez meg ez" hozzáállással, hisz régen is működött.

Ásd el a csatabárdot.
Nem mondom hogy mindenki hülye. Csak az én szubjektív véleményemet írtam le - hiba volt, elismerem.
Inkább én vagyok a hülye, mivel folyton az az érzésem, hogy rosszul (alias hülyén teszem fel a kérdéseimet).
"Ha bármi kiteszel publikusan elérhetően, akkor nagyjából naponta piszkálni kellene, de hetente minimum frissíteni."
Kizárólag a levelezést tettem ki "publikusan", már ha egy login lap annak számít. Nem tudom mit kellene piszkálnom rajta? - időnként megnézem a logokat.
(Annak talán több értelme lenne, ha a router logját tudnám becsatornázni a kis szerverbe, mivel annak nagyon kevés memóriája van a naplózásra)
A továbbiakat lásd lejjebb.

* Én egy indián vagyok. Minden indián hazudik.

Idézet:
Kizárólag a levelezést tettem ki "publikusan", már ha egy login lap annak számít. Nem tudom mit kellene piszkálnom rajta?

Pl. telepíteni a biztonsági frissítéseket, hogy ne lehessen kintről feltörni egy 9 éves buggal, és ne legyen spammereknek meg mindenféle kiberbűnözőknek az ugródeszkája.

Amíg volt rá biztonsági frissítés, támogatás természetesen frissítettem.

SZERK: Megnéztem, utoljára 2016.10.19. -én volt frissítve - "165 packages upgraded".
Ja és az exim4 -es mail szerver "smart host" -ként üzemel, kívülről nem elérhető, OpenWRT tűzfal mögött csücsül.

* Én egy indián vagyok. Minden indián hazudik.

Idézet:
"10 éve csináltam az első kis szerveremet, azóta nem kellett hozzányúlnom"

Akkor most azonnal lekapcsolod.

https://youtu.be/sPnGC1__Xqg?t=17

A Let's Encrypt és a Certbot nem számít "kerülgetésnek"?

A szervert a feleseged munkahelyi gepen uzemelteted?

Ezt nem értem. (Természetesen nem a feleségem munkahelyi gépén üzemeltetek szervert.)
Én arra gondoltam, hogy a certificate, amit egy arra hitelesített vállalkozás nyújt, ő hitelesíti hogy én én vagyok, vagyis a certificate az én domain -emhez tartozik. Vagy megint valamit félreértettem?

* Én egy indián vagyok. Minden indián hazudik.

Korabbi kerdesedre akartam valaszt adni nagyon trukkos formaban -----> ha nemmel felelsz a kerdesemre egyben megkapod a valaszt is arra amit ideztem.

Attól, hogy élő személy vagy még nem vagy jogosult saját certet kiállítani amit aztán széleskörben elfogadnak. Ahogyan diplomák, jogosítványok és egyéb okmányok kiállítására sem vagy jogosult csak azért mert élő személy vagy és éppen >10 éve vezetsz, vagy >10 éve vagy magántanár stb.

A Let's Encrypt nem hiszem h kerülgetésnek számítana, nem kötelező az általuk aláírt certeket sem elfogadni, valamint gondolom probléma esetén vissza is tudják vonni az érvényességét egyes certeknek esetleg tiltólistára tenni bizonyos dns-eket. Bár ennyire sose ástam magam bele, hogy pontosan hogyan is működnek.

OFF: Szubjektív, hülye véleményem:
No igen. Komoly felfogásbeli különbség van közöttünk. Ismét a különféle hatóságok és az azok által kiadott/hitelesített iratok és előírások kerülnek előtérbe. A következő nemzedéknek, már az AI fogja kiadni, hiszen pártatlan szakértő.
(Említed a magántanárt - ajánlom figyelmedbe a "Király beszéde" című Oscar díjas filmet. A Linux alapítója, és itt tiszteletből nem írom le a nevét, szintén nem certificate -el a zsebében kezdte el azt aminek évek óta a haszonélvezője vagyok.)
Elismerem, nekem is kellemetlen volt, amikor figyelmetlenségből beugrottam egy kamu levélnek és bejelentkeztem egy kamu oldalra - szerencsére időben észbe kaptam, lecseréltem az igazi oldalon a jelszavamat és jeleztem a szolgáltató felé. Így ha megkérdeznének én sem tudnék most okosabbat javasolni, min t szigorítani a policy -n.

* Én egy indián vagyok. Minden indián hazudik.

Idézet:
A Let's Encrypt és a Certbot nem számít "kerülgetésnek"?

Nem.

OK

* Én egy indián vagyok. Minden indián hazudik.

Hosszas szenvedés után, átállítottam a routeremet a homokozó gépre, feltelepítettem a certbot és a python-certbot-apache csomagokat.
A telepítés szépen végig vezetett a kérdéseken majd feltelepítette a certificatet az apache -ba úgy, hogy hozzá sem kellett nyúlnom. Sőt, a honlapon megadott metódussal ellenőrizhettem, hogy működhet e a frissítés.
Gyorsan megnéztem a LAN -on, ott is rendben volt a dolog - nem panaszkodott, hogy baja lenne a titkosítással.
A nejem kipróbálta, szintén gond nélkül megette a munkaállomása.
Happy end?
Nem egészem, valószínűleg az "éles" szervernél másképp kellhet megoldanom, hiszen már egyszer regisztráltam a domain -t.

* Én egy indián vagyok. Minden indián hazudik.

másold át a certet az éles gépedre

Alapvetően, amikor telepítés lefut jelzi hogy menteni kell az /etc/encrypt mappát - ez amúgy is így szokott nálam működni az egész /etc mappával.
Viszont fel kell telepíteni, hogy működjön az apache -al illetve a frissítéshez szükséges timerek stb.
Majd kiderül mi kellhet még.

* Én egy indián vagyok. Minden indián hazudik.