KeyHelp Community

Hallo zusammen,

jetzt muss ich mich leider nochmal um Hilfe umschauen.
Eventuell hat ja jemand hierzu eine Lösung oder einen Ratschlag, wie mein Problem am besten zu beheben ist.

Folgendes Problem, ich habe mir nun bei gogetssl.com ein Wildcard SSL Zertifikat geholt (Multi Domain SAN Zertifikat habe ich auch versucht.)
Bei Keyhelp wurde das Zertifikat eingefügt, welches auch als gültig erkannt wird.
Ich habe die System-Services abgedeckt und meine Hauptdomain unter Domains.

Wenn ich jetzt (anscheinend tritt das Problem momentan nur auf Apple Geräten auf.) z.b. meine Keyhelp Hauptdomain und meine Webmail Domain aufrufe bekomme ich den folgenden Fehler:

- Misdirected Request.
-> The client needs a new connevtion for this request as the requested host name does not match the Server Name Indication (SNI) in use for this connection.

Nach einiger Suche habe ich z.B. gefunden, dass dieser Fehler unter anderem auftreten kann, wenn die vhosts unterschiedliche SSL Konfiguration nutzen. Kann dies evtl. bei den normalen Domains und den System-Service Domains der Fall sein?

Hoffe mein Problem ist einigermaßen verständlich, und ich gehe nicht zu sehr auf die Nerven

Grüße

Tobias Brummer wrote: ↑Tue 22. Feb 2022, 19:40 Nach einiger Suche habe ich z.B. gefunden, dass dieser Fehler unter anderem auftreten kann, wenn die vhosts unterschiedliche SSL Konfiguration nutzen. Kann dies evtl. bei den normalen Domains und den System-Service Domains der Fall sein?

Hoffe mein Problem ist einigermaßen verständlich, und ich gehe nicht zu sehr auf die Nerven

Ich hoffe, ich habe Dein Problem verstanden

apache2ctl -S zeigt Dir, welche Config (welcher Bereich, Zeilennummer) für welchen vhost zuständig ist.

Hilft das?

Ansonsten kann ich auch von hier testen, habe beide Systeme, macOS und Linux

Vielen Dank für den Apache Command.
Die einzigen Sachen, die mir ins Auge gefallen, sind ist das in den System-Service config kein HSTS an ist.
Das habe ich jetzt mal auf meiner Hauptdomain deaktiviert. Problem besteht aber weiterhin.
Cache gelöscht etc.
Falls du es dir wirklich mal anschauen willst.
Erste Hauptdomain wäre: https://overwrld.com
Keyhelp Domain wäre: https://w1.overwrld.com

Beide Domains gehen einzeln, sobald man aber im Safari (Mac oder Iphone) beide aufruft und eine neu lädt, kommt der 421 Fehler.

24unix wrote: ↑Tue 22. Feb 2022, 20:10

Tobias Brummer wrote: ↑Tue 22. Feb 2022, 20:08 Vielen Dank für den Apache Command.
Die einzigen Sachen, die mir ins Auge gefallen, sind ist das in den System-Service config kein HSTS an ist.
Das habe ich jetzt mal auf meiner Hauptdomain deaktiviert. Problem besteht aber weiterhin.
Cache gelöscht etc.
Falls du es dir wirklich mal anschauen willst.
Erste Hauptdomain wäre: https://overwrld.com
Keyhelp Domain wäre: https://w1.overwrld.com

Beide Domains gehen einzeln, sobald man aber im Safari (Mac oder Iphone) beide aufruft und eine neu lädt, kommt der 421 Fehler.

Tja, ich weiß nicht, ob dich das jetzt weiter bringt, aber bei mir gehen beide Seiten mit Safari ohne Probleme auf.

Edit: Die w1 geht immer, die ohne subdomain wirft nach einem Reload den Fehler.

24unix wrote: ↑Tue 22. Feb 2022, 20:11 Tja, ich weiß nicht, ob dich das jetzt weiter bringt, aber bei mir gehen beide Seiten mit Safari ohne Problem auf.

Auch wenn du beide offen hast und dann eine davon neulädst? Also würde mich natürlich freuen, wenn das nur an mir liegt.
Wäre wieder typisch....

Tobias Brummer wrote: ↑Tue 22. Feb 2022, 20:13

24unix wrote: ↑Tue 22. Feb 2022, 20:11 Tja, ich weiß nicht, ob dich das jetzt weiter bringt, aber bei mir gehen beide Seiten mit Safari ohne Problem auf.

Auch wenn du beide offen hast und dann eine davon neulädst? Also würde mich natürlich freuen, wenn das nur an mir liegt.
Wäre wieder typisch....

Ich hatte oben nochmal editiert. Das panel geht immer.

Hast Du das schon gesehen?
Der hat auch ein Multi-Domain Cert:

https://serverfault.com/questions/91672 ... ed-request

Ansonsten kann ich gerne Morgen in Ruhe schauen, muss jetzt leider los.

24unix wrote: ↑Tue 22. Feb 2022, 20:18 Hast Du das schon gesehen?
Der hat auch ein Multi-Domain Cert:

https://serverfault.com/questions/91672 ... ed-request

Ansonsten kann ich gerne Morgen in Ruhe schauen, muss jetzt leider los.

Vielen Dank schomal werde ich mir mal angucken.
Kein Problem

Tobias Brummer wrote: ↑Tue 22. Feb 2022, 20:20

24unix wrote: ↑Tue 22. Feb 2022, 20:18 Hast Du das schon gesehen?
Der hat auch ein Multi-Domain Cert:

https://serverfault.com/questions/91672 ... ed-request

Ansonsten kann ich gerne Morgen in Ruhe schauen, muss jetzt leider los.

Vielen Dank schomal werde ich mir mal angucken.
Kein Problem

Mir dem Chrome unter macOS kann ich beide aufmachen und beliegib oft neu laden.


Bin heute Nacht oder morgen wieder am Rechner.

Ist auch nur im Safari, sogar Edge scheint keine Probleme zu haben

Tatsächlich scheint dein Link die Lösung zu sein
Der Beitrag hier hat geholfen: https://serverfault.com/a/1016430

ich habe die /etc/apache2/keyhelp/vhosts/overwrld.conf angepasst
(das auskommentierte ist das, was KeyHelp einfügt und den Fehler verursacht. Ist aber dasselbe Zertifikat.)
Wenn ich hier den gleichen Zertifikat-Ort vom dem KeyHelp Server-Services benutze (/etc/ssl/keyhelp/keyhelp.pem) geht es.
Die Frage ist, wie mache ich das jetzt am besten, ich vermute KeyHelp, wird die Config wieder überschreiben?
Was wäre denn eine gute dauerhafte Lösung

Aus Ermangelung an Geräten mit dem angefressenen Obst kann ich zwar den Fehler nicht reproduzieren, aber mir ist was anderes aufgefallen...
Qualys meldet beim Prüfen des Hosts, daß er eine IPv6 zum Host findet, aber über die IPv6 nicht connecten kann ->
https://www.ssllabs.com/ssltest/analyze ... Results=on
Möglicherweise besteht ja ein Zusammenhang zu deinem Problem

Danke für die Info
Wobei ich hier sagen muss das ich jetzt 10+ Seiten die alle anscheinend ipv6 fähig sind
und bei allen kommt unable to connect bei ssllabs evtl. funktioniert das bei denen auch gerade nicht.

Viele andere Ipv6 Site Tests können zumindest connecten. Mit den Configänderungen funktioniert es im Moment ja eigentlich einwandfrei.
Bräuchte am besten nur noch eine dauerhafte Config, die nicht von KeyHelp gleich wieder überschrieben wird.

Wenn es sich wirklich so darstellen sollte, wie beschrieben, dann fällt es für mich in die Kategorie Safari-Bug - er blockt etwas, was es nicht blocken sollte.

Bei welcher Safari-Version tritt das auf? Ggf. kann ich es dann auch mal nachstellen.

---
Updatesicher kannst du dies nur hinterlegen, indem du die Datei mit "chattr +i" schreibgeschützt markierst. Damit können dann aber auch keine Änderungen an allen vhosts dieses Kunden umgesetzt werden. Keine optimale Lösung. Besser wäre es wenn Safari den Bug fixt .

Vielleicht als Idee - bei Safari funktioniert vieles, wo es zuerst Probleme gibt, wenn man die Inhaltsblocker für die entsprechende Seite im Safari deaktiviert

Alexander wrote: ↑Wed 23. Feb 2022, 09:00 Wenn es sich wirklich so darstellen sollte, wie beschrieben, dann fällt es für mich in die Kategorie Safari-Bug - er blockt etwas, was es nicht blocken sollte.

Bei welcher Safari-Version tritt das auf? Ggf. kann ich es dann auch mal nachstellen.

---
Updatesicher kannst du dies nur hinterlegen, indem du die Datei mit "chattr +i" schreibgeschützt markierst. Damit können dann aber auch keine Änderungen an allen vhosts dieses Kunden umgesetzt werden. Keine optimale Lösung. Besser wäre es wenn Safari den Bug fixt .

Vielen Dank für den Hinweis mit dem Updateschutz. Optimal ist das wirklich nicht, aber als Übergangslösung evtl. ganz nützlich.

Getestet habe ich es mit der
Safari Version 15.3 (17612.4.9.1.8) und der
Safari Technology Preview Release 140 (Safari 15.4, WebKit 17614.1.1.5)
und auf dem Iphone mit derm neusten IOs 15.3.1