Toon posts:

Certificaat van Tweakblog.net verlopen ?

Pagina: 1
Acties:
  • 1.880 views

donderdag 13 oktober 2016 15:05

Acties:
  • 0 Henk 'm!
  • Dronium
  • Registratie: Januari 2007
  • Laatst online: 23:37

Dronium

Topicstarter
Volgens IE 11 en Google Chrome is het certificaat van https://tweakblogs.net/ ingetrokken (revoked), maar Firefox laat de pagina nog wel gewoon zien.

donderdag 13 oktober 2016 15:10

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Volgens de SSL Server Test van Qualys Labs is de status Good (not revoked)?

Ook volgens de OCSP responder is het certificaat prima:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

osiris@desktop ~ $ openssl s_client -connect tweakblogs.net:443 -servername tweakblogs.net -status
CONNECTED(00000003)
depth=2 C = BE, O = GlobalSign nv-sa, OU = Root CA, CN = GlobalSign Root CA
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = AlphaSSL CA - SHA256 - G2
verify return:1
depth=0 OU = Domain Control Validated, CN = *.tweakblogs.net
verify return:1
OCSP response: 
======================================
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: EE5EFFFE85DB26C626FBD3698410AD1D0DD3EF58
    Produced At: Oct 11 10:06:27 2016 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 84D56BF8098BD307B766D8E1EBAD6596AA6B6761
      Issuer Key Hash: F5CDD53C0850F96A4F3AB797DA5683E669D268F7
      Serial Number: 1121FC808D9B6B41540C35E6CBF45D9C1376
    Cert Status: good
    This Update: Oct 11 10:06:27 2016 GMT
    Next Update: Oct 15 10:06:27 2016 GMT
...

[ Voor 77% gewijzigd door Osiris op 13-10-2016 15:11 ]

donderdag 13 oktober 2016 15:11

Acties:
  • 0 Henk 'm!
  • m3gA
  • Registratie: Juni 2002
  • Laatst online: 26-09 17:33

m3gA

Dronium schreef op donderdag 13 oktober 2016 @ 15:05:
Volgens IE 11 en Google Chrome is het certificaat van https://tweakblogs.net/ ingetrokken (revoked), maar Firefox laat de pagina nog wel gewoon zien.
Volgens Chrome tot 2019 geldig :) vermoed dat het aan je eigen pc ligt.

donderdag 13 oktober 2016 15:11

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

m3gA schreef op donderdag 13 oktober 2016 @ 15:11:
[...]

Volgens Chrome tot 2019 geldig :) vermoed dat het aan je eigen pc ligt.
Revocation heeft niets met de datum te maken hè ;)

Overigens mag Kees wel eens gaan kijken naar de rare cipher suite volgorde :o

[ Voor 14% gewijzigd door Osiris op 13-10-2016 15:12 ]

donderdag 13 oktober 2016 15:12

Acties:
  • 0 Henk 'm!
  • m3gA
  • Registratie: Juni 2002
  • Laatst online: 26-09 17:33

m3gA

Osiris schreef op donderdag 13 oktober 2016 @ 15:11:
[...]

Revocation heeft niets met de datum te maken hè ;)

Overigens mag Kees wel eens gaan kijken naar de rare cipher suite volgorde :o
Klopt inderdaad maar het slotje is mooi groen.

donderdag 13 oktober 2016 15:15

Acties:
  • 0 Henk 'm!
  • shoombak
  • Registratie: September 2008
  • Niet online

shoombak

waarschijnlijk niet gerelateerd, maar wel toevallig. Ik kreeg half uur geleden eenzelfde melding over https://www.europa.eu/

donderdag 13 oktober 2016 15:21

Acties:
  • 0 Henk 'm!
  • Koenvh
  • Registratie: December 2011
  • Laatst online: 23-09 16:35

Koenvh

Hier tekenen: ______

shoombak schreef op donderdag 13 oktober 2016 @ 15:15:
waarschijnlijk niet gerelateerd, maar wel toevallig. Ik kreeg half uur geleden eenzelfde melding over https://www.europa.eu/
Dat komt omdat het certificaat alleen geldig is voor https://europa.eu ;)

🠕 This side up

donderdag 13 oktober 2016 15:24

Acties:
  • 0 Henk 'm!
  • shoombak
  • Registratie: September 2008
  • Niet online

shoombak

Koenvh schreef op donderdag 13 oktober 2016 @ 15:21:
[...]

Dat komt omdat het certificaat alleen geldig is voor https://europa.eu ;)
Maar die heeft hetzelfde probleem :)

donderdag 13 oktober 2016 15:26

Acties:
  • 0 Henk 'm!
  • Koenvh
  • Registratie: December 2011
  • Laatst online: 23-09 16:35

Koenvh

Hier tekenen: ______

shoombak schreef op donderdag 13 oktober 2016 @ 15:24:
[...]

Maar die heeft hetzelfde probleem :)
Het verschil zit 'm in de www. ervoor. https://www.europa.eu werkt niet, https://europa.eu werkt wel

🠕 This side up

donderdag 13 oktober 2016 15:31

Acties:
  • 0 Henk 'm!
  • shoombak
  • Registratie: September 2008
  • Niet online

shoombak

Koenvh schreef op donderdag 13 oktober 2016 @ 15:26:
[...]

Het verschil zit 'm in de www. ervoor. https://www.europa.eu werkt niet, https://europa.eu werkt wel
Hier niet, maar heb je de check for certificate revocation wel aanstaan?

Afbeeldingslocatie: https://windowsitpro.com/site-files/windowsitpro.com/files/uploads/2013/10/DeClercq_%20Internet_Explorer_Fig_1.jpg

Wikipedia: Wikipedia, the free encyclopedia bijvoorbeeld ook.

donderdag 13 oktober 2016 15:32

Acties:
  • 0 Henk 'm!
  • Dronium
  • Registratie: Januari 2007
  • Laatst online: 23:37

Dronium

Topicstarter
https://europa.eu werkt bij mij prima. Zojuist ook even getest met mijn tablet (zowel met IE als Edge) en daar heb ik hetzelfde issue, ook als ik via een andere internet verbinding test.
FYI de tablet is gisteren opnieuw geinstalleerd (Windows 10 pro) en geupdate.

donderdag 13 oktober 2016 15:32

Acties:
  • 0 Henk 'm!
  • shoombak
  • Registratie: September 2008
  • Niet online

shoombak

Hier dus de oorzaak:

https://www.globalsign.com/en/status/

donderdag 13 oktober 2016 15:51

Acties:
  • 0 Henk 'm!
  • Dronium
  • Registratie: Januari 2007
  • Laatst online: 23:37

Dronium

Topicstarter
Dat zou hem inderdaad wel eens kunnen zijn.....
Tweakers.net heeft een cert van Let's Encrypt, tweakblogs.net inderdaad van Globalsign.
Ik wacht het verder wel even af.

donderdag 13 oktober 2016 17:21

Acties:
  • 0 Henk 'm!
  • Ook
  • Registratie: September 2000
  • Laatst online: 22-09 22:26

Ook

Yes I can!

Toch wel vreemd hoe een GlobalSign issue zo wisselende werking heeft; voor sommige mensen werkt alles de hele tijd OK, terwijl andere consistent issues hebben.. IE Cache + CRL cache deleted maar dat maakt niets uit :(

Wees consequent, maar niet altijd

donderdag 13 oktober 2016 17:58

Acties:
  • 0 Henk 'm!
  • Osiris
  • Registratie: Januari 2000
  • Niet online

Osiris

Ook een directe OCSP request lijkt 't (nu?) prima te doen:

[b][green]osiris@desktop [/][blue]~ $ [/][/]openssl ocsp -issuer alphassl.pem -cert tweakblogs.pem -verify_other alphassl.pem -text -header Host ocsp2.globalsign.com -url http://ocsp2.globalsign.com/gsalphasha2g2
OCSP Request Data:
    Version: 1 (0x0)
    Requestor List:
        Certificate ID:
          Hash Algorithm: sha1
          Issuer Name Hash: 84D56BF8098BD307B766D8E1EBAD6596AA6B6761
          Issuer Key Hash: F5CDD53C0850F96A4F3AB797DA5683E669D268F7
          Serial Number: 1121FC808D9B6B41540C35E6CBF45D9C1376
    Request Extensions:
        OCSP Nonce: 
            0410E50B001C39203B68E80E038C1BAE0362
OCSP Response Data:
    OCSP Response Status: successful (0x0)
    Response Type: Basic OCSP Response
    Version: 1 (0x0)
    Responder Id: EE5EFFFE85DB26C626FBD3698410AD1D0DD3EF58
    Produced At: Oct 13 15:57:33 2016 GMT
    Responses:
    Certificate ID:
      Hash Algorithm: sha1
      Issuer Name Hash: 84D56BF8098BD307B766D8E1EBAD6596AA6B6761
      Issuer Key Hash: F5CDD53C0850F96A4F3AB797DA5683E669D268F7
      Serial Number: 1121FC808D9B6B41540C35E6CBF45D9C1376
    Cert Status: good
    This Update: Oct 13 15:57:33 2016 GMT
    Next Update: Oct 17 15:57:33 2016 GMT

    Response Extensions:
        OCSP Nonce: 
            0410E50B001C39203B68E80E038C1BAE0362
    Signature Algorithm: sha256WithRSAEncryption
         75:0b:9c:dc:45:5e:3a:55:56:e1:44:72:73:27:11:84:c8:8e:
         42:96:d9:03:e3:86:ab:13:ae:54:35:85:3b:95:f6:80:9e:32:
         6d:16:31:7b:69:34:1c:77:7e:5f:06:91:86:69:d1:89:92:6b:
         dd:fd:a3:ff:27:f0:ad:bc:41:47:13:a9:94:20:fd:8a:6f:a1:
         81:a1:b7:b8:76:be:e6:70:34:d3:27:66:3a:13:31:4d:35:b2:
         cd:6f:78:43:a8:cb:5b:03:c4:49:88:56:e8:e6:35:17:1a:30:
         50:a6:94:a6:56:70:db:86:aa:8e:20:7d:43:07:d1:a3:5d:ae:
         23:07:49:a1:25:9c:07:17:4c:8b:7c:2e:47:4f:ea:63:43:90:
         82:c2:15:b1:1d:7b:ad:ab:d5:a3:88:24:cf:e3:12:62:2a:04:
         a6:35:1d:f0:c6:bf:e9:f1:3c:55:2d:14:3c:40:94:ec:0a:e4:
         78:66:82:6b:d6:2e:02:bd:10:b1:ad:62:18:de:c3:7d:28:48:
         e5:07:7b:37:44:74:33:b3:5b:b2:92:99:fa:73:9c:51:af:17:
         b1:97:2d:51:22:be:7d:56:ac:3c:12:aa:93:24:f1:bf:5d:e6:
         f7:cb:3f:b3:2e:94:e1:71:f1:5c:79:73:6b:c4:57:29:5b:30:
         d0:4f:78:89
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            20:93:0b:df:74:b3:e0:3e:b1:86:c5:15
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=BE, O=GlobalSign nv-sa, CN=AlphaSSL CA - SHA256 - G2
        Validity
            Not Before: Jul 25 03:22:10 2016 GMT
            Not After : Oct 25 03:22:10 2016 GMT
        Subject: C=BE, O=GlobalSign nv-sa/serialNumber=201607251129, CN=AlphaSSL CA - SHA256 - G2 - OCSP Responder
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:c0:6e:14:5f:56:d9:13:78:4c:a7:5e:60:49:20:
                    73:10:84:60:3a:7b:f9:fe:0a:19:29:2c:12:13:04:
                    15:03:c6:02:04:1d:ee:1c:1b:09:74:73:5a:69:02:
                    8f:54:92:7f:51:08:1b:fe:b1:5d:fd:be:9e:31:46:
                    7c:0c:60:40:d1:cc:12:53:8e:7e:1e:ed:96:3f:97:
                    e3:05:f0:30:67:08:3d:a9:7b:c6:8a:a8:75:06:6b:
                    ac:c0:aa:d0:f0:ec:3d:02:be:a1:15:32:a9:3f:4c:
                    5d:86:c0:73:60:53:f8:7d:57:66:20:07:89:9d:9f:
                    87:88:f3:45:7f:8c:f4:c7:f2:80:e9:77:78:e6:24:
                    58:2b:95:46:1a:9a:c4:1b:c1:8c:6c:4b:63:6b:d4:
                    36:42:ad:9c:da:4c:77:6d:2c:42:5b:99:82:c1:c5:
                    22:ce:ee:3c:af:6b:0d:37:cb:bd:af:24:4e:73:b5:
                    da:b9:76:5f:0c:76:fa:99:c2:27:85:38:93:aa:2a:
                    5b:5c:76:19:d1:a5:d1:fe:ac:d0:72:f6:06:69:55:
                    18:74:c5:95:8c:60:88:e9:5a:5d:7a:a3:14:0d:f5:
                    ea:3c:ef:6a:3b:53:23:de:65:ed:ef:f7:45:b8:ea:
                    b7:db:94:ba:cd:82:43:c0:b0:8e:ef:d0:45:f9:1d:
                    a8:b7
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                EE:5E:FF:FE:85:DB:26:C6:26:FB:D3:69:84:10:AD:1D:0D:D3:EF:58
            X509v3 Authority Key Identifier: 
                keyid:F5:CD:D5:3C:08:50:F9:6A:4F:3A:B7:97:DA:56:83:E6:69:D2:68:F7

            OCSP No Check: 

            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.4146.1.95
                  CPS: https://www.globalsign.com/repository/

            X509v3 Key Usage: critical
                Digital Signature
            X509v3 Extended Key Usage: 
                OCSP Signing
    Signature Algorithm: sha256WithRSAEncryption
         78:3e:d2:f0:7d:7e:87:ea:4d:39:1e:b4:68:2c:98:dd:d5:c5:
         56:3c:bb:a1:7c:f7:cd:28:cf:59:f8:54:39:93:96:95:de:1d:
         22:c2:02:51:f7:47:39:9c:ca:20:d6:d1:c7:19:e6:7a:af:16:
         14:5c:68:66:cb:a8:1e:df:93:99:91:99:15:d3:1d:06:76:6f:
         e1:33:ed:29:04:a0:74:d2:ae:f8:38:78:24:95:72:8e:e7:91:
         09:07:a9:32:45:63:36:ac:5e:fe:cc:01:20:d9:3b:32:33:37:
         b2:b5:01:8c:0b:63:ce:21:f3:de:f9:05:9b:2a:07:a7:35:0b:
         62:d1:78:7c:e8:a5:a0:8c:85:c5:ba:db:41:75:7a:8f:d0:32:
         fa:f9:93:a0:5f:26:5c:aa:54:7b:1a:e3:23:82:f4:80:46:dc:
         7e:9c:84:d6:50:47:6d:c8:f7:14:81:0d:25:76:b3:56:67:59:
         25:40:c2:68:6a:1b:c6:4a:0e:6c:94:99:9e:7d:c8:66:d9:ee:
         c6:fe:27:99:98:45:38:81:7f:c5:e0:9d:2c:f4:0d:52:a4:97:
         a8:50:9d:da:95:09:8d:b2:0e:7c:07:35:b5:16:83:32:ed:fd:
         24:c4:f2:76:09:72:70:32:67:61:54:73:49:10:30:46:c8:b2:
         29:90:e5:5f
-----BEGIN CERTIFICATE-----
MIIEDjCCAvagAwIBAgIMIJML33Sz4D6xhsUVMA0GCSqGSIb3DQEBCwUAMEwxCzAJ
BgNVBAYTAkJFMRkwFwYDVQQKExBHbG9iYWxTaWduIG52LXNhMSIwIAYDVQQDExlB
bHBoYVNTTCBDQSAtIFNIQTI1NiAtIEcyMB4XDTE2MDcyNTAzMjIxMFoXDTE2MTAy
NTAzMjIxMFowdDELMAkGA1UEBhMCQkUxGTAXBgNVBAoTEEdsb2JhbFNpZ24gbnYt
c2ExFTATBgNVBAUTDDIwMTYwNzI1MTEyOTEzMDEGA1UEAxMqQWxwaGFTU0wgQ0Eg
LSBTSEEyNTYgLSBHMiAtIE9DU1AgUmVzcG9uZGVyMIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAwG4UX1bZE3hMp15gSSBzEIRgOnv5/goZKSwSEwQVA8YC
BB3uHBsJdHNaaQKPVJJ/UQgb/rFd/b6eMUZ8DGBA0cwSU45+Hu2WP5fjBfAwZwg9
qXvGiqh1BmuswKrQ8Ow9Ar6hFTKpP0xdhsBzYFP4fVdmIAeJnZ+HiPNFf4z0x/KA
6Xd45iRYK5VGGprEG8GMbEtja9Q2Qq2c2kx3bSxCW5mCwcUizu48r2sNN8u9ryRO
c7XauXZfDHb6mcInhTiTqipbXHYZ0aXR/qzQcvYGaVUYdMWVjGCI6VpdeqMUDfXq
PO9qO1Mj3mXt7/dFuOq325S6zYJDwLCO79BF+R2otwIDAQABo4HHMIHEMB0GA1Ud
DgQWBBTuXv/+hdsmxib702mEEK0dDdPvWDAfBgNVHSMEGDAWgBT1zdU8CFD5ak86
t5faVoPmadJo9zAPBgkrBgEFBQcwAQUEAgUAMEwGA1UdIARFMEMwQQYJKwYBBAGg
MgFfMDQwMgYIKwYBBQUHAgEWJmh0dHBzOi8vd3d3Lmdsb2JhbHNpZ24uY29tL3Jl
cG9zaXRvcnkvMA4GA1UdDwEB/wQEAwIHgDATBgNVHSUEDDAKBggrBgEFBQcDCTAN
BgkqhkiG9w0BAQsFAAOCAQEAeD7S8H1+h+pNOR60aCyY3dXFVjy7oXz3zSjPWfhU
OZOWld4dIsICUfdHOZzKINbRxxnmeq8WFFxoZsuoHt+TmZGZFdMdBnZv4TPtKQSg
dNKu+Dh4JJVyjueRCQepMkVjNqxe/swBINk7MjM3srUBjAtjziHz3vkFmyoHpzUL
YtF4fOiloIyFxbrbQXV6j9Ay+vmToF8mXKpUexrjI4L0gEbcfpyE1lBHbcj3FIEN
JXazVmdZJUDCaGobxkoObJSZnn3IZtnuxv4nmZhFOIF/xeCdLPQNUqSXqFCd2pUJ
jbIOfAc1tRaDMu39JMTydglycDJnYVRzSRAwRsiyKZDlXw==
-----END CERTIFICATE-----
Response verify OK
[b]tweakblogs.pem: good[/]
	This Update: Oct 13 15:57:33 2016 GMT
	Next Update: Oct 17 15:57:33 2016 GMT
[b][green]osiris@desktop [/][blue]~ $ [/][/]

donderdag 13 oktober 2016 19:31

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 26-09 14:35

DiedX

Wellicht iets off-topic, maar waarom maakt T.Net geen gebruik van LetsEncrypt?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 13 oktober 2016 19:34

Acties:
  • 0 Henk 'm!
  • Keiichi
  • Registratie: Juni 2005
  • Laatst online: 24-09 12:24

Keiichi

DiedX schreef op donderdag 13 oktober 2016 @ 19:31:
Wellicht iets off-topic, maar waarom maakt T.Net geen gebruik van LetsEncrypt?
doen ze wel, klik maar op cert info voor op als je in dit topic zit.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

donderdag 13 oktober 2016 19:37

Acties:
  • 0 Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 26-09 14:35

DiedX

Ik kwam hier via nieuws: Probleem bij GlobalSign leidt tot groot aantal certificaatwaarschuwingen. Dus blijkbaar eerder niet?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 13 oktober 2016 19:41

Acties:
  • 0 Henk 'm!
  • Keiichi
  • Registratie: Juni 2005
  • Laatst online: 24-09 12:24

Keiichi

DiedX schreef op donderdag 13 oktober 2016 @ 19:37:
Ik kwam hier via nieuws: Probleem bij GlobalSign leidt tot groot aantal certificaatwaarschuwingen. Dus blijkbaar eerder niet?
Als je beetje moeite doet, zie je dat tweakblogs een ander certificaat heeft dan diverse andere delen van tweakers. Vandaar dat het topic ook iets met tweakblog.net is en niet geheel tweakers.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

donderdag 13 oktober 2016 19:44

Acties:
  • 0 Henk 'm!
  • _David_
  • Registratie: Februari 2011
  • Laatst online: 26-09 12:31

_David_

FP ProMod

llama llama duck

DiedX schreef op donderdag 13 oktober 2016 @ 19:31:
Wellicht iets off-topic, maar waarom maakt T.Net geen gebruik van LetsEncrypt?
Tweakers maakt wel gebruik van Lets Encrypt, behalve voor tweakblogs aangezien Lets Encrypt geen wildcard certificaten heeft (en elke tweakblog heeft een apart subdomein)

I thought fail2ban would keep the script kiddies out but somehow you still seem to be able to login.

vrijdag 14 oktober 2016 12:15

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 26-09 14:20

Kees

Serveradmin / BOFH / DoC
_David_ schreef op donderdag 13 oktober 2016 @ 19:44:
[...]

Tweakers maakt wel gebruik van Lets Encrypt, behalve voor tweakblogs aangezien Lets Encrypt geen wildcard certificaten heeft (en elke tweakblog heeft een apart subdomein)
Inderdaad, dat is exact de reden. Anders zouden we een nieuw certificaat moeten aanvragen voor elk tweakblog, en voor elk tweakblog een aparte entry in de loadbalancers moeten maken en (als we 200 blogs verder zijn) met meerdere certificaten moeten gaan werken.

Dan is een wildcard toch net iets fijner.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

Pagina: 1

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq