Discussion:
Strato und SSL: 'Zu diesem Server kann keine gesicherte Verbindung hergestellt werden'
(zu alt für eine Antwort)
Harald Effenberg
2014-09-15 21:50:35 UTC
Permalink
Hi!

Ich muss nochmal nachfragen wg. meiner bei Strato gehosteten Website,
für die ich dort SSL gebucht habe.

Seit dem werden meine Seiten von einigen (zugegeben: eher exotischen)
Browsern nicht mehr angezeigt.

Z.B. meint der grottige Symbian60-Browser meines Nokia N97:
"Zu diesem Server kann keine gesicherte Verbindung hergestellt werden"

Das auf dem gleichen Handy installierte Opera Mobile sagt:
"Es ist nicht möglich die sichere Durchführung zu beenden"

Der ("experimentelle") Browser des Amazon Kindle klagt:
"Web Browser is unable to establish a secure connection with
this web site."

Der Validator
http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de
ist überrascht:
"I got the following unexpected response when trying to retrieve <https://www.effenberg.de/>:
500 SSL negotiation failed:"

Setze ich den Feed-validator auf meine Seite www.effenberg.de/news.xml an,
http://validator.w3.org/feed/check.cgi?url=www.effenberg.de%2Fnews
heisst es:

"Server returned [Errno 1] _ssl.c:504: error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name"

Und versuche ich, per OpenSSL eine Verbindung aufzubauen, erhalte
ich folgendes ausführlicheres Ergebnis:

C:\OpenSSL-Win32\bin>openssl s_client -connect effenberg.de:443
Loading 'screen' into random state - done
CONNECTED(00000124)
2464:error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name:
.\ssl\s23_clnt.c:762:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 307 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
---

Kann mir jemand sagen, was ich gegen den Missstand tun kann?
Oder wenigstens erklären, woran es liegt?

BTW:
Gibt es eine NG, die für diese Frage besser geeignet wäre?

Danke und viele Grüße
Harald
--
Letzte Vorstellungen: 14. bis 16. Oktober im Schlosspark Theater
in "Der Lügenbaron" ("Mein bester Freund") von Eric Assous
http://www.effenberg.de/der-luegenbaron.htm
Arno Welzel
2014-09-16 08:25:24 UTC
Permalink
Post by Harald Effenberg
Ich muss nochmal nachfragen wg. meiner bei Strato gehosteten Website,
für die ich dort SSL gebucht habe.
Seit dem werden meine Seiten von einigen (zugegeben: eher exotischen)
Browsern nicht mehr angezeigt.
"Zu diesem Server kann keine gesicherte Verbindung hergestellt werden"
"Es ist nicht möglich die sichere Durchführung zu beenden"
"Web Browser is unable to establish a secure connection with
this web site."
[...]

Ich würde sicherheitshalber mal mit den Test bei SSLLabs nachsehen:

<https://www.ssllabs.com/ssltest/analyze.html?d=effenberg.de>

Man achte auf "This site works only in browsers with SNI support."

SNI beherrschen viele ältere Browser nicht - u.A. alles vor Android 4
oder fast alle Browser unter Windows XP, wenn sie keine eigene
SSL-Implementierung nutzen.
Post by Harald Effenberg
Der Validator
http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de
500 SSL negotiation failed:"
Das riecht für mich danach, als würde der W3-Validator kein SNI machen.
Das wäre allerdings unerwartet - denn mit anderen Websites, die auch nur
via SNI erreichbar sind, funktioniert das problemlos:

<http://validator.w3.org/check?uri=https%3A%2F%2Farnowelzel.de>
Post by Harald Effenberg
Setze ich den Feed-validator auf meine Seite www.effenberg.de/news.xml an,
http://validator.w3.org/feed/check.cgi?url=www.effenberg.de%2Fnews
"Server returned [Errno 1] _ssl.c:504: error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name"
Sehr ungewöhnlich - denn der Feed benutzt ja gar kein HTTPS
(http://www.effenberg.de/news).

[...]
Post by Harald Effenberg
Kann mir jemand sagen, was ich gegen den Missstand tun kann?
Oder wenigstens erklären, woran es liegt?
Sehr wahrscheinlich ist irgendwas an der Serverkonfiguration vermurkst.
Ist das ein Shared Webspace oder dein eigener Server?
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Harald Effenberg
2014-09-16 08:59:31 UTC
Permalink
Post by Arno Welzel
<https://www.ssllabs.com/ssltest/analyze.html?d=effenberg.de>
Danke für den Link!
Ich schätze, es liegt an

Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Post by Arno Welzel
Post by Harald Effenberg
Setze ich den Feed-validator auf meine Seite www.effenberg.de/news.xml an,
http://validator.w3.org/feed/check.cgi?url=www.effenberg.de%2Fnews
"Server returned [Errno 1] _ssl.c:504: error:14077458:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 unrecognized name"
Sehr ungewöhnlich - denn der Feed benutzt ja gar kein HTTPS
(http://www.effenberg.de/news).
Doch, der wird zu
https://www.effenberg.de/news
weitergeleitet.
Post by Arno Welzel
Ist das ein Shared Webspace oder dein eigener Server?
Shared.
Nochmal danke!

Viele Grüße
Harald
--
Petition Arzneimittelwesen
Kostenerstattung bei Medikamenten auf Cannabisbasis
keine strafrechtliche Verfolgung
https://epetitionen.bundestag.de/petitionen/_2014/_05/_30/Petition_52664.nc.html
Arno Welzel
2014-09-16 14:32:28 UTC
Permalink
Post by Harald Effenberg
Post by Arno Welzel
<https://www.ssllabs.com/ssltest/analyze.html?d=effenberg.de>
Danke für den Link!
Ich schätze, es liegt an
Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Eher nicht - mein Server macht auch kein SSL 3 mehr:

<https://www.ssllabs.com/ssltest/analyze.html?d=arnowelzel.de>

Der W3-Validator hat damit aber kein Problem:

<http://validator.w3.org/check?uri=https%3A%2F%2Farnowelzel.de>
Post by Harald Effenberg
Post by Arno Welzel
Ist das ein Shared Webspace oder dein eigener Server?
Shared.
Dann würde ich nochmal bei Strato nachhaken.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Thomas Gohel
2014-09-16 14:55:00 UTC
Permalink
Hallo Harald,
Post by Harald Effenberg
Ich schätze, es liegt an
Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Nein, es liegt definitiv daran, dass der Browser kein SNI kann.

Einfacher gesagt: SSL-Connections in "Virtuell Hosts" auf dem
Webserver werden vom Browser nicht verstanden.

Abhilfe: Einen aktuellen Browser nutzen oder einen Browser finden,
der nach 2006 auf dem Markt kam. Windows XP (Jahr 2001) lässt sich
mit Firefox SNI-fähig machen. Der IE wäre das zwar auch, aber die
XP-Bibliotheken nicht. Die gleiche IE-Version unterstützt dann aber
in neueren Windows-Versionen SNI ohne Probleme.

Tschau,

--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))
Arno Welzel
2014-09-16 21:09:14 UTC
Permalink
Post by Thomas Gohel
Hallo Harald,
Post by Harald Effenberg
Ich schätze, es liegt an
Protocols
TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No
Nein, es liegt definitiv daran, dass der Browser kein SNI kann.
Einfacher gesagt: SSL-Connections in "Virtuell Hosts" auf dem
Webserver werden vom Browser nicht verstanden.
Es ging aber nicht (nur) um Browser, sondern auch um den Validator des
W3, der zu diesem Server auch keine Verbindung aufbauen kann:

<http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de>

Bei korrekt konfiguriertem Server geht das aber auch mit SNI durchaus:

<http://validator.w3.org/check?uri=https%3A%2F%2Farnowelzel.de>

Wo jetzt aber genau der Fehler bei <https://www.effenberg.de/> liegt,
kann ich ohne Einblick in die verwendete Konfiguration auch nicht sagen.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Thomas Gohel
2014-09-17 15:56:00 UTC
Permalink
Hallo Arno,
Post by Arno Welzel
Bei korrekt konfiguriertem Server geht das aber auch mit SNI
Der IE macht es unter XP nicht mit Haralds-Seite, aber dafür der
Firefox. Für mich ist das deshalb recht eindeutig ein Problem, das
auf SNI beruht.

Wie da jetzt noch einzelne Test-Seiten gestrickt sind, da habe ich
auch keine Ahnung. ,-)


Tschau,

--------------
/ h o m a s
--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.
Arno Welzel
2014-09-18 08:30:13 UTC
Permalink
Post by Thomas Gohel
Hallo Arno,
Post by Arno Welzel
Bei korrekt konfiguriertem Server geht das aber auch mit SNI
Der IE macht es unter XP nicht mit Haralds-Seite, aber dafür der
Firefox. Für mich ist das deshalb recht eindeutig ein Problem, das
auf SNI beruht.
Nein, das ist eben nicht eindeutig, da es NICHT um Browser ging!
Post by Thomas Gohel
Wie da jetzt noch einzelne Test-Seiten gestrickt sind, da habe ich
auch keine Ahnung. ,-)
Um die ging es aber!
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Erwin Uchmann
2014-09-18 16:30:54 UTC
Permalink
Post by Thomas Gohel
Hallo Arno,
Post by Arno Welzel
Bei korrekt konfiguriertem Server geht das aber auch mit SNI
Der IE macht es unter XP nicht mit Haralds-Seite, aber dafür der
Firefox. Für mich ist das deshalb recht eindeutig ein Problem, das
auf SNI beruht.
´
Logisch, weil der IE unter XP kein SNI kann. Was aber kein Problem
darstellt, da kein halbwegs vernünftiger Mensch noch mit Windows XP ins
Internet geht. Eine solche veraltete, nicht mehr gepflegte Kiste mag man
nur noch Standalone betreiben.

Mal abgesehen von Firmen, die mit M$ einen (teuren) WinXP-Wartungsvertrag
geschlossen haben. Aber an solche Leute richtet sich Haralds private
Webseite eher nicht.
Harald Effenberg
2014-09-16 22:09:48 UTC
Permalink
"Thomas Gohel" <***@basicguru.de> schrieb:

Hi!
Post by Thomas Gohel
Abhilfe: Einen aktuellen Browser nutzen oder einen Browser finden,
der nach 2006 auf dem Markt kam.
Danke für den Tipp, aber: Ich habe keinen Einfluss darauf, welche
Browser die Leute verwenden, die sich evtl. meine Seiten ansehen.

Inzwischen spiele ich mit dem Gedanken, die SSL-Unterstützung
bei Strato nach Ablauf des Mindestzeitraums (1 Jahr) wieder zu
kündigen.

Google scheint zwar sehr angetan zu sein, aber 3 Euro extra im Monat
zu bezahlen für schlechtere Erreichbarkeit, widerstrebt mir irgendwie.

Viele Grüße
Harald
--
"If cats looked like frogs we'd realize what nasty, cruel
little bastards they are. Style. That's what people remember."
Terry Pratchett
Arno Welzel
2014-09-17 06:39:34 UTC
Permalink
Post by Harald Effenberg
Hi!
Post by Thomas Gohel
Abhilfe: Einen aktuellen Browser nutzen oder einen Browser finden,
der nach 2006 auf dem Markt kam.
Danke für den Tipp, aber: Ich habe keinen Einfluss darauf, welche
Browser die Leute verwenden, die sich evtl. meine Seiten ansehen.
Inzwischen spiele ich mit dem Gedanken, die SSL-Unterstützung
bei Strato nach Ablauf des Mindestzeitraums (1 Jahr) wieder zu
kündigen.
Google scheint zwar sehr angetan zu sein, aber 3 Euro extra im Monat
zu bezahlen für schlechtere Erreichbarkeit, widerstrebt mir irgendwie.
SNI sollte kein Problem sein. Die Zahl der Nutzer, deren Browser das
nicht beherrscht, dürfte wohl im einstelligen Prozentbereich liegen,
wenn überhaupt. Faktisch ist das nur unter Windows XP mit IE oder Chrome
ein Problem oder mit Android 2.x. Firefox hat seine eigene
SSL-Implementierung und kann auch unter XP auf Websites mit SNI zugreifen.

Viel gravierender sind die generellen Probleme, die Strato da offenbar
hat - denn das der W3-Validator keine Verbindung aufbauen kann, liegt
nicht an SNI.

Wie gesagt: Frage bei Strato nach und zeige Ihnen die konkreten
Probleme. Du kannst gerne meinen Server (<https://arnowelzel.de>) als
Vergleich heranziehen, falls die damit argumentieren sollten, dass es
halt mit SNI nicht besser ginge o.Ä..
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Thomas Gohel
2014-09-17 15:24:00 UTC
Permalink
Hallo Arno,
Post by Arno Welzel
Viel gravierender sind die generellen Probleme, die Strato da
offenbar hat - denn das der W3-Validator keine Verbindung aufbauen
kann, liegt nicht an SNI.
Doch, das kann durchaus an SNI liegen, denn mit einer falschen
Implentierung von SNI seitens des Clients landest Du nicht einmal
im richtigen virtuellen Host, sondern im Default-Root oder irgend-
einem virtuellen Host (je nach Config des Webservers).

Auf von mir betreuten Webservern habe ich z.B. einen Default-Host,
der alles schluckt was definitiv nicht auf dem Webserver eingerichtet
ist (reine IP-Abfragen, sinnlose Sub-Domains, etc.) und dieser Host
wird dann per "Deny from all" komplett geerdet.

PS: Meine SSL-Testseite hat im übrigen ohne Probleme funktioniert.
Es wird aber SHA1 als schwacher Algorithmus gekennzeichnet, aller-
dings liegt dieses am Herausgeber des Zertifikates


Tschau,

--------------
/ h o m a s
--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.
Arno Welzel
2014-09-17 15:59:53 UTC
Permalink
Post by Thomas Gohel
Hallo Arno,
Post by Arno Welzel
Viel gravierender sind die generellen Probleme, die Strato da
offenbar hat - denn das der W3-Validator keine Verbindung aufbauen
kann, liegt nicht an SNI.
Doch, das kann durchaus an SNI liegen, denn mit einer falschen
Implentierung von SNI seitens des Clients landest Du nicht einmal
im richtigen virtuellen Host, sondern im Default-Root oder irgend-
einem virtuellen Host (je nach Config des Webservers).
Seufz... nochmal:

<http://validator.w3.org/check?uri=https%3A%2F%2Farnowelzel.de>

Das geht einwandfrei - mit SNI.

Der W3-Validator kann das also durchaus.

Und das hier geht nicht:

<http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de>

Deswegen mein mehrfacher Hinweis, dass der OP sich an Strato wenden
möge, mit der Bitte, ihre Serverkonfiguration zu prüfen und ggf. zu
korrigieren. Das das ein Shared Webspace ist, kann der OP daran selber
vermutlich wenig ändern.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Thomas Gohel
2014-09-17 18:01:00 UTC
Permalink
Hallo Arno,
Post by Arno Welzel
<http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de>
Ich sage es nur ungerne, aber der Check ist kaputt, denn da gehen auch
ganz andere SSL-Domains nicht.
Post by Arno Welzel
Deswegen mein mehrfacher Hinweis, dass der OP sich an Strato wenden
möge,
Nein, da sehe ich nicht so. Der Fehler liegt beim veralteten Client.


PS: "http://www.ssllabs.com" ist Dein gesuchter Freund.

Tschau,

--------------
/ h o m a s
--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.
Arno Welzel
2014-09-18 08:29:06 UTC
Permalink
Post by Thomas Gohel
Hallo Arno,
Post by Arno Welzel
<http://validator.w3.org/check?uri=https%3A%2F%2Fwww.effenberg.de>
Ich sage es nur ungerne, aber der Check ist kaputt, denn da gehen auch
ganz andere SSL-Domains nicht.
Welche zum Beispiel?
Post by Thomas Gohel
Post by Arno Welzel
Deswegen mein mehrfacher Hinweis, dass der OP sich an Strato wenden
möge,
Nein, da sehe ich nicht so. Der Fehler liegt beim veralteten Client.
PS: "http://www.ssllabs.com" ist Dein gesuchter Freund.
Auf den habe ich ganz am Anfang auch schon hingewiesen. Die haben
aktuell aber wohl ein Problem. Aber wenn es mal wieder geht und man

<https://www.ssllabs.com/ssltest/analyze.html?d=effenberg.de>

mit

<https://www.ssllabs.com/ssltest/analyze.html?d=arnowelzel.de>

vergleicht, ist zumindest auffällig, dass Strato bei effenberg.de eine
deutlich kleinere Cipher-Liste anbietet und auch sonst ein paar Dinge
anders handhabt.

Wenn der W3-Validator damit nicht klar kommt, würde ich davon ausgehen,
dass dies auch andere Clients betrifft - und zu sagen "die Clients sind
kaputt", hilft da wenig weiter. Mit arnowelzel.de geht es ja
schliesslich auch.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Ralf Döblitz
2014-09-18 18:42:23 UTC
Permalink
Post by Harald Effenberg
Hi!
Post by Thomas Gohel
Abhilfe: Einen aktuellen Browser nutzen oder einen Browser finden,
der nach 2006 auf dem Markt kam.
Danke für den Tipp, aber: Ich habe keinen Einfluss darauf, welche
Browser die Leute verwenden, die sich evtl. meine Seiten ansehen.
ACK. Und wenn ich mir so ansehe, mit was für Browsern die Leute so
reinkommen, dann ist auch z.B. Android 2.3 noch durchaus verbreitet
(mittlerer einstelliger Prozentbereich) - auch ein System ohne SNI und
nur deshalb wird man z.B. ein Tablett, das ansonsten problemlos
funktioniert, nicht wegwerfen wollen.

Ralf
--
Eine GABELN heißt im Fido nämlich "Echo", weil da reingegatete Artikel
öfters mit anderer Message-ID wieder rauskommen.
  – Oliver B. Warzecha
Arno Welzel
2014-09-19 10:01:50 UTC
Permalink
Post by Ralf Döblitz
Post by Harald Effenberg
Hi!
Post by Thomas Gohel
Abhilfe: Einen aktuellen Browser nutzen oder einen Browser finden,
der nach 2006 auf dem Markt kam.
Danke für den Tipp, aber: Ich habe keinen Einfluss darauf, welche
Browser die Leute verwenden, die sich evtl. meine Seiten ansehen.
ACK. Und wenn ich mir so ansehe, mit was für Browsern die Leute so
reinkommen, dann ist auch z.B. Android 2.3 noch durchaus verbreitet
(mittlerer einstelliger Prozentbereich) - auch ein System ohne SNI und
nur deshalb wird man z.B. ein Tablett, das ansonsten problemlos
funktioniert, nicht wegwerfen wollen.
Deswegen biete ich HTTPS auf meinen Websites auch nur optional an, nicht
verpflichtend. Dort, wo es verpflichtend ist, wissen meine Nutzer aber,
dass sie aktuelle Browser benötigen.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Erwin Uchmann
2014-09-18 16:39:53 UTC
Permalink
Post by Thomas Gohel
Nein, es liegt definitiv daran, dass der Browser kein SNI kann.
Das hat nichts mit SNI zu tun (das kann der Validator), sondern einfach an
der viel zu eingeschränkten Zahl an Ciphers. Wenn man auf SSLLabs schaut,
sieht man, dass viele Clients dadurch per se ausgeschlossen werden.
Loading...