Problemen met SSL certificaat voor IIS binnen een Intranet

SambalBij schreef op maandag 4 maart 2024 @ 19:22:
De melding die je krijgt ((NET::ERR_CERT_COMMON_NAME_INVALID)) duidt er op dat op de common name van je certificaat een andere hostname staat dan degene die je browser probeert op te halen.

Je kunt twee dingen eens nakijken; welke CN geeft de browser aan die hij op het certificaat ziet? En welke hostname staat er in de adresbalk van je browser? Klik de foutmelding eens door en bekijk via de browser het certificaat.

(Als er ergens binnen die intranetsite een forward of rewrite wordt gedaan naar een andere hostname, dan kan het zijn dat ie ook gaat zeuren om het certificaat - Als voorbeeld; jij hebt een certificaat gegenereerd voor intranet.liemerskunstwerk.intra (waar je ook heen gaat) maar de website zelf forward je vervolgens naar een server naam of iets als web-01.liemerskunstwerk.infra, dan zou je ook die melding krijgen)

aad.slingerland schreef op maandag 4 maart 2024 @ 19:13:
[...]


Roger, daar zal ik eens op inzoomen. Thanks

[ Voor 20% gewijzigd door Urk op 04-03-2024 19:36 ]

aad.slingerland schreef op maandag 4 maart 2024 @ 20:06:
[...]


Daar begint het inderdaad op te lijken. Kijk ook maar eens hier: https://news.ycombinator.com/item?id=39152306

Ik ben aan het spitten of ik Chrome (dat is denige browser die hier nu gebruikt word) zo gedresseerd kan worden dat die .intra wel accepteerd. My god wat heb ik mijn hals gehaald

Hero of Time schreef op maandag 4 maart 2024 @ 20:16:
Wij hebben op de zaak helaas nog een .local domein en een interne CA. Certificaten die we hieruit krijgen werken bij ons prima.

Geen idee wat er met .intra wordt gedaan, dat kan mogelijk een issue zijn. Maar gezien de melding denk ik dat wat hierboven al is aangegeven het probleem is. De common name is niet goed. Het is mogelijk dat deze melding ook wordt getoond als alleen de CN is opgegeven en er geen Subject Alt Name is ingevuld. Zie ook https://security.stackexc...-other-browsers-ie-follow, een post van >6 jaar oud!

pennywiser schreef op maandag 4 maart 2024 @ 20:20:
[...]

Er moet ook een lokale root CA in jullie browser gezet zijn anders komt er toch echt een cn invalid error. Het is namelijk een self signed, je zegt het zelf, interne CA.

Hero of Time schreef op maandag 4 maart 2024 @ 20:24:
[...]

Wanneer er gebruik gemaakt wordt van ADCS zal het root CA daarvan automatisch via AD naar de clients gepusht worden. Daar hoef je niks voor te doen. En alleen Firefox heeft mogelijk nog wat overtuiging nodig om de certificate store van het OS te gebruiken. Chrome kijkt al naar die van het OS.

Jazzy schreef op maandag 4 maart 2024 @ 20:32:
Bekijk het certificaat dan eens via de browser. De naam die je in de adresbalk van je browser typt moet op het certificaat staan bij Onderwerp en dan nogmaals bij Alternatieve naam voor entiteit van certificaat. Of de Engelstalige equivalenten van die termen.

pennywiser schreef op maandag 4 maart 2024 @ 20:34:
[...]

Het probleem is (denk ik) de tld .intra waar browsers tegenwoordig op faulten.

Jazzy schreef op maandag 4 maart 2024 @ 20:37:
[...]
Ik weet alleen dat publieke certificate authorities er geen certificaten meer voor uitgeven.

pennywiser schreef op maandag 4 maart 2024 @ 20:44:
[...]

Intern betekent (denk ik) door jullie bedrijf uitgegeven. Daarvoor is vooraf in jullie client browsers, of lokaal op het OS een root certificaat geplaatst waar tegen gecheckt wordt. Daarmee is het echter nog steeds een untrustable - self signed certificaat voor de buitenwereld.

Jazzy schreef op maandag 4 maart 2024 @ 20:49:
[...]

Dat is het punt niet. Je schreef "...waar browsers tegenwoordig op faulten.". Dat heeft niets met de browser te maken maar of de chain getrust wordt en het subject klopt. Browsers doen tegenwoordig niets anders dan voorheen.

pennywiser schreef op maandag 4 maart 2024 @ 20:52:
[...]

De browser geeft error toch?

Semt-x schreef op maandag 4 maart 2024 @ 21:34:
[...]


nee
[Afbeelding]

pennywiser schreef op maandag 4 maart 2024 @ 20:32:
[...]

Nee ok, ADCS, maar dat is hetzelfde als wat ik bedoel: self signed.

pennywiser schreef op maandag 4 maart 2024 @ 21:35:
[...]

Welke root CA is dat?

pennywiser schreef op maandag 4 maart 2024 @ 20:34:
[...]

Het probleem is (denk ik) de tld .intra waar browsers tegenwoordig op faulten.

pennywiser schreef op maandag 4 maart 2024 @ 19:34:
[...]

Maar zo'n .intra wordt toch door geen enkele browser geaccepteerd in 2024 ook al kloppen de hostnames?

• Wat zijn de OID(s)?
• Wat is de subjectnaam?
• Wat is de SAN name?

[ Voor 17% gewijzigd door Question Mark op 05-03-2024 13:44 ]

Question Mark schreef op dinsdag 5 maart 2024 @ 13:40:
[...]

Heb je daar een bron voor? Het enige wat ik weet is dat een interne TLD bv. niet meer als SAN entry geaccepteerd wordt in publieke certificaten. Dat is voor sommige applicaties problematisch.

Wat zijn verder de eigenschappen van het gebruikte certificaat:

• Wat zijn de OID(s)?
• Wat is de subjectnaam?
• Wat is de SAN name?

[ Voor 12% gewijzigd door pennywiser op 05-03-2024 14:21 ]

pennywiser schreef op dinsdag 5 maart 2024 @ 14:01:
[...]
Blijven gebruiken van .local etc is vragen om problemen volgens mij, geen best practice in elk geval meer.

pennywiser schreef op dinsdag 5 maart 2024 @ 14:01:
[...]

Ik had het over publieke certificaten inderdaad. Volgens mij was er een aantal jaar een soort campagne gaande dat je van interne tld's af moest stappen.

Jazzy schreef op dinsdag 5 maart 2024 @ 19:54:
[...]

Niet om die discussie weer opnieuw op te starten, maar je wijst hierbij steeds op browsers. Er is helemaal niets veranderd aan browsers. Het zijn certificate authorities die wat anders zijn gaan doen, browsers kunnen prima werken met een .local, .intra of .slagroom fqdn. Zolang je certificaat aan de eisen voldoet zullen browsers daar niet over klagen, evenmin wget, curl of welke secure client dan ook.

pennywiser schreef op dinsdag 5 maart 2024 @ 19:58:
[...]

Dat klopt dus niet. Een browser geeft een error als je geen root cert importeert van je .intra of .local. In sommige gevallen (Chrome) kun je dan niet eens verder.

[ Voor 67% gewijzigd door pennywiser op 05-03-2024 20:29 ]

pennywiser schreef op dinsdag 5 maart 2024 @ 20:27:
3 moderators zitten me op de nek, en ze snappen het allemaal niet.

u_nix_we_all schreef op dinsdag 5 maart 2024 @ 20:31:
[...]

Volgens mij ben jij degene die het niet snapt. De (interne) CA van het certificaat wordt op de clients gezet. De foutmelding wijst op een fout met de CN en niet ERR_CERT_AUTHORITY_INVALID die je zou krijgen als de CA niet bekend is.

pennywiser schreef op dinsdag 5 maart 2024 @ 20:33:
[...]

Ja en waarom wil je een intern certificaat, omdat je security hazard van een .local meuk wilt blijven hosten, en daar ging het nou net over.

[ Voor 21% gewijzigd door Quad op 05-03-2024 20:41 ]

u_nix_we_all schreef op dinsdag 5 maart 2024 @ 20:35:
[...]

Nee het ging erom dat de TS een foutmelding kreeg en deze wil verhelpen. Niet om een discussie of het gebruik van een interne CA een good practice, onveilig of zelfs onmogelijk is.

Quad schreef op dinsdag 5 maart 2024 @ 20:39:
Dan is het geheel logisch dat je foutmeldingen krijgt op HTTPS.

Quad schreef op dinsdag 5 maart 2024 @ 20:39:
Overigens adviseer ik om informatie omtrent de URL/domein te anonimiseren, deze voegen niets toe op het forum.

pennywiser schreef op dinsdag 5 maart 2024 @ 14:01:
Blijven gebruiken van .local etc is vragen om problemen volgens mij, geen best practice in elk geval meer.

https://www.brickhost.com...rnal-domains-we-can-help/

The domain name .local is a special-use domain name reserved by the Internet Engineering Task Force (IETF) so that it may not be installed as a top-level domain in the Domain Name System (DNS) of the Internet. As such it is similar to the other special domain names, such as .localhost.[1] However, .local has since been designated for use in link-local networking, in applications of multicast DNS (mDNS)[2] and zero-configuration networking (zeroconf) so that DNS service may be established without local installations of conventional DNS infrastructure on local area networks.

Jazzy schreef op maandag 4 maart 2024 @ 20:32:
Bekijk het certificaat dan eens via de browser. De naam die je in de adresbalk van je browser typt moet op het certificaat staan bij Onderwerp en dan nogmaals bij Alternatieve naam voor entiteit van certificaat. Of de Engelstalige equivalenten van die termen.

Jazzy schreef op woensdag 6 maart 2024 @ 13:38:
Om daar even naar terug te gaan, zou je bovenstaande eens willen controleren?

$ dig +short tweakers.net a
213.239.154.30

$ openssl s_client -connect 213.239.154.30:443 -servername tweakers.net </dev/null 2>/dev/null | openssl x509 -noout -text | grep 'Subject:.* CN =\|Alternative Name\|DNS:'
        Subject: CN = *.tweakers.net
            X509v3 Subject Alternative Name:
                DNS:*.hardware.info, DNS:*.tweakblogs.net, DNS:*.tweakers.be, DNS:*.tweakers.mobi, DNS:*.tweakers.net, DNS:*.tweakers.nl, DNS:*.tweakers.tv, DNS:*.tweakimg.net, DNS:*.tweakzones.net, DNS:hardware.info, DNS:tweakblogs.net, DNS:tweakers.be, DNS:tweakers.mobi, DNS:tweakers.net, DNS:tweakers.nl, DNS:tweakers.tv, DNS:tweakimg.net, DNS:tweakzones.net