SSL_BAD_CERT_DOMAIN op Eduroam - Internet en hosting

Vraag

dinsdag 27 juni 2017 11:28

Acties:

+1 Henk 'm!

It's Lupus.

Topicstarter

Een interessant geval dit. We hebben een domeinnaam bij TransIP, en een VPS bij DigitalOcean. Nginx geconfigureerd, Let's Encrypt eraan gehangen met certbot, helemaal prima. A-record verwijst naar de VPS van DigitalOcean, als nameserver worden ns0/ns1/ns2.transip.nl gebruikt. Vanaf de WiFi thuis, en vanaf de 3G-verbinding gaat dit prima. Zodra ik echter via Eduroam dezelfde website open, krijg ik de volgende melding:

www.DOMEIN.nl uses an invalid security certificate.

The certificate is only valid for the following names: *.transip.nl, transip.nl

Error code: SSL_ERROR_BAD_CERT_DOMAIN

Wat gaat hier mis? Alleen op Eduroam krijg ik deze foutmelding. Ik ben de configuratie van certbot/letsencrypt/nginx nagelopen om te kijken of er ergens toch een domeinnaam van TransIP in is geglipt vanwege mijn oplettendheid, maar dit lijkt niet het geval te zijn. De opties die ik nog overhoud als mogelijke oorzaak zijn:

- Eduroam rommelt aan certificaten of heeft een extra niveau van beveiliging, of een brakke caching oid.
- De DNS-server moet ingesteld worden op die van DigitalOcean, in plaats van bij TransIP (wil ik liever niet direct proberen om downtime te voorkomen)

Is er iemand die bekend is met een soortgelijk probleem? Of een extra configuratie die toegepast kan worden om het wel te laten werken op Eduroam zonder de beveiliging onderuit te halen?

Mocht het relevant zijn, deze foutmelding geeft Firefox terug:
'This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox only connect to it securely. As a result, it is not possible to add an exception for this certificate.'

Ik heb het getest op zowel Firefox op Windows, als Chrome op Android. Tijd/datum etc. staan allemaal goed.

Beste antwoord (via rens-br op 23-11-2017 15:55)

dinsdag 27 juni 2017 11:47

iChaos

It's Lupus.

Topicstarter

Ah, goeie! Ik zie dat het Eduroamnetwerk van deze universiteit inderdaad nog een DNS-route geeft naar een IP van TransIP. Lijkt erop dat het inderdaad nog niet overal is doorgevoerd. Dank voor het meedenken heren!

Alle reacties

dinsdag 27 juni 2017 11:34

Acties:

+1 Henk 'm!

Joran

<3 natalee

Ik heb toevallig precies dezelfde situatie:

-droplet bij digitalocean
-domein bij transip
-A-record naar de vps toe.
-SSL-certificaat via certbot, let's encrypt
-Ik zit nu op eduroam bij een unviersiteit.

Alles werkt alleen wel bij mij, certificaat gewoon op naam van domein.
Controleer het certificaat nog even via de developer console, is de hele chain wel juist?

Ik heb overigens ook HSTS enzo aan (een A+ volgens https://www.ssllabs.com/). Als je mijn (apache)configuratie wilt inzien kan je me een berichtje sturen, het is toch geen kritieke site.

[ Voor 21% gewijzigd door Joran op 27-06-2017 11:42 ]

Send me your gameboys

dinsdag 27 juni 2017 11:42

Acties:

0 Henk 'm!

iChaos

It's Lupus.

Topicstarter

Joran schreef op dinsdag 27 juni 2017 @ 11:34:
Ik heb toevallig precies dezelfde situatie:

-droplet bij digitalocean
-domein bij transip
-A-record naar de vps toe.
-SSL-certificaat via certbot, let's encrypt
-Ik zit nu op eduroam bij een unviersiteit.

Alles werkt alleen wel bij mij, certificaat gewoon op naam van domein.
Controleer het certificaat nog even via de developer console, is de hele chain wel juist?

Ik heb verbinding gemaakt via 3G op mijn laptop om in de browser het certificaat te kunnen inzien, maar daar mankeert zo te zien niets aan, nergens een verwijzing naar TransIP te zien. Wellicht ligt het aan de specifieke manier waarop Eduroam op deze universiteit is opgezet, zou jij eens kunnen kijken of hij bij jou wel laadt? Op https://www.cobook.nl. (ik zit op het netwerk van de Universiteit Maastricht)

Hartelijk dank voor de hulp!

dinsdag 27 juni 2017 11:44

Acties:

+1 Henk 'm!

Joran

<3 natalee

Werkt uitstekend, alles staat groen in safari, chrome, firefox.
The Orca is alive. (netwerk van de VU)

Send me your gameboys

dinsdag 27 juni 2017 11:46

Acties:

+1 Henk 'm!

Radiant

Certified MS Bob Administrator

Grappig, ik klik toevallig op de link vanaf een normale verbinding (niet eduroam) en krijg hetzelfde:

De server kan niet bewijzen dat dit www.cobook.nl is. Het beveiligingscertificaat van de server is afkomstig van *.transip.nl. Dit kan worden veroorzaakt door een verkeerde configuratie of een aanvaller die je verbinding onderschept.

Maar het IP dat ik zie is ook van de placeholder van TransIP, dus wellicht dat je recente DNS-wijzigingen gewoon nog niet overal zijn doorgekomen.

dinsdag 27 juni 2017 11:47

Acties:

Beste antwoord ✓
0 Henk 'm!

iChaos

It's Lupus.

Topicstarter

donderdag 23 november 2017 08:56

Acties:

0 Henk 'm!

teek2

Ik heb hetzelfde, dit is de output van certbot:

root@trantor:/opt/letsencrypt# sudo certbot --nginx -d x.nl -d www.x.nl
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator nginx, Installer nginx
Cert is due for renewal, auto-renewing...
Renewing an existing certificate
Performing the following challenges:
tls-sni-01 challenge for x.nl
tls-sni-01 challenge for www.x.nl
Waiting for verification...
Cleaning up challenges
Failed authorization procedure. x.nl (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested 7f1264fe8d4d9ff5e636559ec07c03fb.9ed90739613773a44e7133ced7f01a08.acme.invalid from [2a01:7c8:3:1337::27]:443. Received 4 certificate(s), first certificate had names "*.transip.nl, transip.nl", www.x.nl (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Incorrect validation certificate for tls-sni-01 challenge. Requested be9ebcf4bf3d1fa7c6ecee457776a833.373eddba8511eb96126cef633e7867c8.acme.invalid from [2a01:7c8:3:1337::27]:443. Received 4 certificate(s), first certificate had names "*.transip.nl, transip.nl"

IMPORTANT NOTES:
- The following errors were reported by the server:

Domain: x.nl
Type: unauthorized
Detail: Incorrect validation certificate for tls-sni-01 challenge.
Requested
7f1264fe8d4d9ff5e636559ec07c03fb.9ed90739613773a44e7133ced7f01a08.acme.invalid
from [2a01:7c8:3:1337::27]:443. Received 4 certificate(s), first
certificate had names "*.transip.nl, transip.nl"

Domain: www.x.nl
Type: unauthorized
Detail: Incorrect validation certificate for tls-sni-01 challenge.
Requested
be9ebcf4bf3d1fa7c6ecee457776a833.373eddba8511eb96126cef633e7867c8.acme.invalid
from [2a01:7c8:3:1337::27]:443. Received 4 certificate(s), first
certificate had names "*.transip.nl, transip.nl"

To fix these errors, please make sure that your domain name was
entered correctly and the DNS A/AAAA record(s) for that domain
contain(s) the right IP address.
root@trantor:/opt/letsencrypt#

Vreemd, niet? Een ander domain werkt wel. Het gaat hier ook over een Digital Ocean droplet, een transip domain naam en een floating IP van DO.

donderdag 23 november 2017 08:57

Acties:

0 Henk 'm!

teek2

Een DNS fout lijkt me onwaarschijnlijk, deze settings zijn al meer dan een jaar ongewijzigd. Door deze fout kan ik mijn certificaat niet updaten en is de boel onbereikbaar nu...

Edit: Het zou kunnen dat het komt doordat het IPv6 adres nog naar transip verwijst en recent er een wijziging op dit gebied is doorgevoerd? Ik heb nu de ipv6 entry verwijderd, ik heb geen ipv6 adres voor de droplet zo te zien, even afwachten.

[ Voor 72% gewijzigd door teek2 op 23-11-2017 09:01 ]

donderdag 23 november 2017 09:10

Acties:

0 Henk 'm!

teek2

Ok, opgelost, het verwijderen van de AAAA record loste het op. Ergens in de pipeline is IPv6 aangezet vermoedt ik. Goed om te zien, nu nog een ipv6 voor mijn droplet regelen...

Wil je voortaan de wijzig-knop gebruiken? Meerdere posts onder elkaar plaatsen binnen 24 uur is niet toegestaan.

[ Voor 26% gewijzigd door rens-br op 23-11-2017 15:55 ]

donderdag 23 november 2017 10:06

Acties:

0 Henk 'm!

rens-br

Admin IN & Moderator Mobile

@teek2 je probleem is nu al opgelost. Maar wil je voor een volgende keer een nieuw topic starten? Het kapen en kicken van andermans topic is namelijk niet toegestaan.

donderdag 23 november 2017 11:22

Acties:

0 Henk 'm!

teek2

Is dit kapen? Zeggen dat je hetzelfde probleem hebt en dan een oplossing bieden voor mensen die hier in de toekomst komen (zoals ik via het googlen van het probleem)? Daar ben ik het niet mee eens.

*knip*. Commentaar op moderatie is offtopic en mag voortaan via de DM.

[ Voor 17% gewijzigd door rens-br op 23-11-2017 15:54 ]

donderdag 23 november 2017 15:52

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Nee, je had niet hetzelfde probleem, dus ja, het is een hijack. Of zullen we ook alle problemen waar "access denied" tevoorschijn komt, in één groot topic stoppen?

QnJhaGlld2FoaWV3YQ==

donderdag 23 november 2017 18:28

Acties:

+1 Henk 'm!

teek2

Brahiewahiewa schreef op donderdag 23 november 2017 @ 15:52:
Nee, je had niet hetzelfde probleem, dus ja, het is een hijack. Of zullen we ook alle problemen waar "access denied" tevoorschijn komt, in één groot topic stoppen?

Mijn probleem betreft ook een Digital Ocean Droplet, ook een Transip Domeinnaam, en ook een ssl certificaat van LetsEncrypt via Certbot. Ik denk dat je mijn posts niet eens gelezen hebt. Door die combinatie te Googlen en specifiek, exact dezelfde error erbij:

The certificate is only valid for the following names: *.transip.nl, transip.nl
Error code: SSL_ERROR_BAD_CERT_DOMAIN

...kwam ik op deze pagina. Deze pagina heeft op dit moment als beste antwoord dat het aan een tussenliggende provider ligt. Bij mij lag het aan een verkeerd ingesteld AAAA IPv6 record (het lijkt mij zelfs vrij waarschijnlijk dat de originele post ook iets met IPv6 te maken heeft). Ik stel mensen die hier op dezelfde manier als ik komen dan ook graag op de hoogte van mijn oplossing.

Voortaan zal ik mijn replies in 1 reactie stoppen maar man ik voel me wel een beetje als een kind op de vingers getikt hier.

[ Voor 12% gewijzigd door teek2 op 23-11-2017 18:45 ]

vrijdag 24 november 2017 01:01

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

teek2 schreef op donderdag 23 november 2017 @ 18:28:
...(het lijkt mij zelfs vrij waarschijnlijk dat de originele post ook iets met IPv6 te maken heeft)...

ROFL

QnJhaGlld2FoaWV3YQ==

vrijdag 24 november 2017 07:06

Acties:

+1 Henk 'm!

Equator

Crew Council

#whisky #barista

Goed, het topic gaat op slot.
@teek2 Ik snap dat je dacht dat je probleem leek op het probleem van de originele topicstarter. Maar, dan nog schop je een ouder topic omhoog.
Maak in het vervolg gewoon een nieuw topic aan, kost niets extra

Pagina: 1

Dit topic is gesloten.