Toon posts:

Self-signed cert voor .internal maken geeft fout in browser

Pagina: 1
Acties:

Vraag

dinsdag 6 februari 2024 10:26

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 22:35

ThinkPad

Topicstarter
N.a.v. het nieuwsbericht nieuws: Icann kiest .internal als nieuw topleveldomeinnaam voor interne netwe... onlangs wilde ik de boel thuis even omzetten. Heb een hele poos 'home.arpa' gebruikt (router.home.arpa, dns.home.arpa), maar '.internal' is toch wat mooier.

Vanwege de andere TLD moet ik m'n self-signed HTTPS-certificaten ook even aanpassen. Certificaten is toch altijd beetje geklooi met OpenSSL en niet mijn sterkste kant, dus ik heb de scripts van deze repository gebruikt.

Eerst een root certificate gemaakt en deze geïmporteerd in Firefox (122.0) & Edge (121.0.2277.106). Daarna een client certificate aangemaakt en de key en het certificaat geïmporteerd in OPNsense (voor de webinterface) en in NginxProxyManager.

Wat schetst echter mijn verbazing: beide browsers vinden een certificaat voor .internal domeinen niet zo leuk :? 8)7

Edge:
code:
1
2
3
4

Your connection isn't private
Attackers might be trying to steal your information from router.internal (for example, passwords, messages, or credit cards).
NET::ERR_CERT_COMMON_NAME_INVALID
This server couldn't prove that it's router.internal; its security certificate is from internal. This may be caused by a misconfiguration or an attacker intercepting your connection.


Firefox:
code:
1
2

https://wiki.internal/
Unable to communicate securely with peer: requested domain name does not match the server’s certificate.


Afbeeldingslocatie: https://tweakers.net/i/_El9dR1BTZFd034moTdmyum6Myw=/232x232/filters:strip_exif()/f/image/cGix7cvsGnMH8Nq1S3R39Oga.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/_-j7dnIBwPr0HaG5XofXeta2xZg=/232x232/filters:strip_exif()/f/image/KgkJ0rpvDG62rUt35wS7evuN.png?f=fotoalbum_tileAfbeeldingslocatie: https://tweakers.net/i/usr8Qsg2pH-aCYud9JydMPZb7Us=/232x232/filters:strip_exif()/f/image/JmyDMU5BXf7orUBQTkF09it2.png?f=fotoalbum_tile


Als ik met dezelfde scripts voor 'home.arpa' een root + client certificaat maak, dan werkt het wél.

Wat gaat hier mis?

[ Voor 49% gewijzigd door ThinkPad op 06-02-2024 10:51 ]

Beste antwoord (via ThinkPad op 06-02-2024 11:39)

dinsdag 6 februari 2024 11:32

  • MueR
  • Registratie: Januari 2004
  • Laatst online: 17-05 16:49

MueR

Admin Tweakers Discord

is niet lief

ThinkPad schreef op dinsdag 6 februari 2024 @ 10:26:
Wat gaat hier mis?
Browsers accepteren geen wildcard certificaten voor top level domains.

Anyone who gets in between me and my morning coffee should be insecure.

Alle reacties

dinsdag 6 februari 2024 11:32

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 17-05 16:49

MueR

Admin Tweakers Discord

is niet lief

ThinkPad schreef op dinsdag 6 februari 2024 @ 10:26:
Wat gaat hier mis?
Browsers accepteren geen wildcard certificaten voor top level domains.

Anyone who gets in between me and my morning coffee should be insecure.

dinsdag 6 februari 2024 11:41

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 22:35

ThinkPad

Topicstarter
Yep, daar kwam ik net met behulp van een collega net ook achter :F *.lab.internal werkt inderdaad wel.

Nog maar even bedenken wat ik wil dan. Ik wil iets korts en wat er ook een beetje netjes uit ziet én wat gewoon netjes onder de standaarden valt (zodat het niet later alsnog een hoofdpijn iets gaat worden zoals .local of .dev).

dinsdag 6 februari 2024 12:01

Acties:
  • 0 Henk 'm!
  • MueR
  • Registratie: Januari 2004
  • Laatst online: 17-05 16:49

MueR

Admin Tweakers Discord

is niet lief

Afhankelijk van de hoeveelheid devices waar het om gaat zou ik gewoon een scriptje maken wat je makkelijk af kan trappen voor de renewal. En sowieso de certificaten met een lange levensduur aanmaken, denk aan een half jaar. Kan langer, maar dan vergeet je waar je scriptje staat :P

Anyone who gets in between me and my morning coffee should be insecure.

dinsdag 6 februari 2024 12:38

Acties:
  • 0 Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 22:35

ThinkPad

Topicstarter
Nouja het is voor thuisgebruik, dus in die zin valt het mee. Maar toch zit ik ook dan al gauw aan >= 10 certificaten, heb e.e.a. aan Docker containers achter een reverse proxy draaien. Voor elk device een nieuw certificaat maken vind ik dan vrij irritant worden. Juist die wildcard is ideaal.

Voorheen gebruikte ik qua levensduur 10 jaar ofzo, dan had ik er nooit meer omkijken naar. Maar ik heb een iPhone en bij Apple devices ben je gebonden aan een max van 825 dagen.

Denk dat ik het vooralsnog maar gewoon op *.home.arpa houdt. Ik vind dat .arpa deel erg lelijk, maar dan kan ik tenminste nog een wildcard blijven gebruiken :)

[ Voor 8% gewijzigd door ThinkPad op 06-02-2024 12:42 ]

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq