Zertifikatsproblem nach deaktivieren eines Kunden

Haben Sie einen Bug entdeckt? Teilen Sie es uns mit.
Post Reply
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

Zertifikatsproblem nach deaktivieren eines Kunden

Post by Pinky »

Tag zusammen,

ich habe gerade einen Kunden deaktiviert.
Im Anschluss erschien auf den Webseiten des Kunden die Keyhelp-Page: Diese Domain wurde deaktiviert. So wie es sein soll.
Mit einer Ausnahme. Eine Domain (läuft mit letsencrypt-Zertifikat unter https) zeigt jetzt ein Verschlüsselungsproblem im Browser.
"NET::ERR_CERT_COMMON_NAME_INVALID"

Handelt es sich hier um ein Konfigurationsproblem?


Edit: Nach Reaktivierung des Kunden lädt die Seite wieder wie gewohnt und wie sie soll.
Sichere Verbindungen erzwingen: Aktiv
HSTS: Aktiv



Server-Betriebssystem + Version
(z.B. Ubuntu 20.04)
Debian 11.4 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
kvm

KeyHelp-Version + Build-Nummer
22.0.1 (Build 2660)
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Pinky wrote: Thu 14. Jul 2022, 18:08 Handelt es sich hier um ein Konfigurationsproblem?
Nein, habe es gerade probiert, macht er bei mir auch.
Wenn die Domain inaktiv ist, schmeißt er den Zertifikatsfehler.

Aber: Nur unter Chrome.

Fx und Safari liefern die Seite aus: https://vader.24unix.net/index.php?page=domain_disabled
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Alexander »

Wenn eine Domain deaktiviert wird, wird nur noch für http (Port 80) ein vhost Container in der Apache Konfiguration erzeugt, in dem die Weiterleitung zur "Domain ist deaktiviert"-Seite steht. Etwaig vorhandene Let's Encrypt Zertifikate werden bei einer deaktivierten Domain nicht weiter beachtet.

Wenn eine Domain HSTS aktiviert hat, wird jedoch zwingend ein gültiges SSL Zertifkat erfordert - Das ist der Sinn hinter HSTS.
Da aber kein korrektes SSL-Zertifikat für diese Domain mehr verfügbar ist, bzw. der vhost auch nicht geschrieben wird, lässt ein der Browser aufgrund von vormals aktiviertem HSTS den Seitenzugriff nicht zu.

Neue Besucher, die noch nie auf der Seite waren können jedoch die Seite ("Domain ist deaktiviert") aufrufen, bzw. auch vorherige Besucher, wenn der alte HSTS Gültigkeitszeitraum ("max-age") abgelaufen ist. Diesen speichert der Browser und kann durch ein zurücksetzen des Browsercaches wieder gelöscht werden.

Das ist auch der Grund, warum @unix24 schreibt, dass er mit Firefox und Safari auf die Seite kommt, da er zuvor nur mit Chrome auf der Seite war (somit die HSTS Daten im Chrome gespeichert wurden) und mit Firefox und Safari nach der Deaktivierung das erste mal die Seite besucht hat.


Generell, bevor man HSTS einschaltet, sollte man sich immer mit der Funktionsweise von HSTS auseinander setzen. Nicht ohne Grund gibts im KeyHelp dazu einen Warnungstext bei entsprechender Option.
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Alexander wrote: Fri 15. Jul 2022, 09:14 Wenn eine Domain deaktiviert wird, wird nur noch für http (Port 80) ein vhost Container in der Apache Konfiguration erzeugt, in dem die Weiterleitung zur "Domain ist deaktiviert"-Seite steht. Etwaig vorhandene Let's Encrypt Zertifikate werden bei einer deaktivierten Domain nicht weiter beachtet.
Das ist aber ein unschöne Lösung, finde ich, passt nicht zu der sonstigen Perfektion von KH.
De facto ist so jede deaktivierte Domain broken, weil wohl jeder HSTS verwenden wird.

Es sollte doch möglich sein, für den vHost eine Config zu schreiben, die das aktuelle Cert nutzt und die Domain Disabled Seite auswirft, oder?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Alexander »

Könnte man aber auch anders rum sehen:

Sagen wir es gibt eine deaktivierte Domain, für die nach wievor jeden Tag versucht wird ein Zertifikat zu beziehen, damit die Seite "Ihre Domain ist Deaktiviert" bei https angezeigt werden kann.
Wenn die Domain nun aber schon längst auf einen anderen Server zeigt, würde das regelmäßig Fehlermeldungen (+ inklusive Hinweis-Emails) produzieren. Möchte man diese dann abstellen, müsste man dann also noch hingehen und die und SSL für diese Domain deaktivieren, wobei in dem Fall aber aufgrund HSTS der Browser ebenso den Zugriff auf diese Seite untersagen würde.

Ich mein, ja, wäre möglich, aber es kommt dann wieder drauf an, was Ihr Admins so mit deaktivierten Domains anstellt. Für die einen mag das gut sein, für die anderen dann aber nicht mehr. Ich denke, deaktiviert ist deaktiviert, da erwartet man ja ohnehin keine Inhalte mehr, oder!?
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Ich kann Deine Argumentation nachvollziehen, aber …
Alexander wrote: Fri 15. Jul 2022, 13:27 Ich denke, deaktiviert ist deaktiviert, da erwartet man ja ohnehin keine Inhalte mehr, oder!?
Aber auch keine Fehlermeldung, das ist irgendwie unschön.

Dann evtl. eine direkte Weiterleitung auf die Domain-Disabled Seite, ohne den Umweg über die nicht mehr funktionale SSL-Seite?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Alexander wrote: Fri 15. Jul 2022, 13:27 Möchte man diese dann abstellen, müsste man dann also noch hingehen und die und SSL für diese Domain deaktivieren, wobei in dem Fall aber aufgrund HSTS der Browser ebenso den Zugriff auf diese Seite untersagen würde.
Ich habe noch mal drauf rum gedacht, wenn ich Zugriff auf den Code hätte, würde ich es so umsetzen:

- Domains die LE verwenden dürfen HSTS maximal auf 60 Tage setzen.
- Wird die Domain deaktiviert, wird der vHost auf eine entsprechende Seite redirected, inkl. SSL-Unterstützung
- Sobald das LE Cert nicht mehr aktualisiert werden kann, einen automatischen redirect von HTTPS -> HTTP erzwingen.

Damit wäre die Funktion "Domain deaktiviert" gegeben. Das passiert in der Regel eh nur für ein paar Tage, bis ein Umzug o.ä. durchgezogen ist.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Jolinar »

24unix wrote: Fri 15. Jul 2022, 16:47 - Domains die LE verwenden dürfen HSTS maximal auf 60 Tage setzen.
Was hat denn HSTS mit LE zu tun? Das Problem würde genauso auftreten, wenn die Domain mit Kaufzertifikat abgesichert wäre und HSTS aktiv ist...
Davon abgesehen würde durch solch kurze Laufzeiten der Sinn von HSTS (zum Teil) zunichte gemacht werden, denn gerade die lange HSTS Gültigkeit soll ja eigentlich einen erhöhten Schutz bewirken.

24unix wrote: Fri 15. Jul 2022, 16:47 - Sobald das LE Cert nicht mehr aktualisiert werden kann, einen automatischen redirect von HTTPS -> HTTP erzwingen.
Das Vorgehen würde einen neuen MITM Angriffsvektor öffnen...keine gute Idee :o
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Jolinar wrote: Fri 15. Jul 2022, 17:01
24unix wrote: Fri 15. Jul 2022, 16:47 - Domains die LE verwenden dürfen HSTS maximal auf 60 Tage setzen.
Was hat denn HSTS mit LE zu tun?
LE certs laufen nach 90 Tagen ab, werden normalerweise alle 60 Tage erneuert.
Jolinar wrote: Fri 15. Jul 2022, 17:01
Das Problem würde genauso auftreten, wenn die Domain mit Kaufzertifikat abgesichert wäre und HSTS aktiv ist...
Die gelten 1 Jahr und länger.
Jolinar wrote: Fri 15. Jul 2022, 17:01
Davon abgesehen würde durch solch kurze Laufzeiten der Sinn von HSTS (zum Teil) zunichte gemacht werden, denn gerade die lange HSTS Gültigkeit soll ja eigentlich einen erhöhten Schutz bewirken.

24unix wrote: Fri 15. Jul 2022, 16:47 - Sobald das LE Cert nicht mehr aktualisiert werden kann, einen automatischen redirect von HTTPS -> HTTP erzwingen.
Das Vorgehen würde einen neuen MITM Angriffsvektor öffnen...keine gute Idee :o
Wo siehst Du da ein MITM?

Wenn Protocol https, dann redirect auf http.
Da wird kein Cert aufgebrochen.
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Alexander »

24unix wrote: Fri 15. Jul 2022, 16:47 - Domains die LE verwenden dürfen HSTS maximal auf 60 Tage setzen.
Das würde nicht umfänglich funktionieren.

Gegen wir davon aus ein LE Zertifikat ist gültig ab:

01. Januar ( == 0 Tage, Beginn der Gültigkeit)
02. März ( == 60 Tage, Beginn der Aktualisierung)
01. April ( == 90 Tage, Ende der Gültigkeit)

Bei allen Benutzern der Seite, die vor dem 02. März die Seite besuchen, wird in deren Browser gespeichert: "Diese Seite muss für die nächsten 60 Tage ein Gültiges Zertifikat besitzen, ansonsten verweigere den Zugang".
Sprich alle Benutzer, die am 01. März die Seite besuchen erwarten bis zum 1. Mai ein gültiges Zertifikat, ansonsten wird die Seite geblockt.


Zumal bei 60 Tagen sich jedes Online-Prüft-Tool beschweren würde, weil der Zeitraum so kurz gewählt ist. HSTS-Empfehlungen fangen bei 180 Tagen mindestens an. Und die Leute benutzen so gern die Online-Prüf-Tools, die immer fleißig empfehlen "AKTIVIERT HSTS!" ohne den gemeinen Nutzer überhaupt aufzuklären, was das für seine Seite im Falle eines Versagens des Zertifikats bedeuten würde.
(Der letzte Abschnitt war jetzt Kritik an den Online-Prüf-Tools, nicht an den Aussagen hier ;).)
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
24unix
Posts: 1560
Joined: Sun 21. Jun 2020, 17:16
Location: Kollmar
Contact:

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by 24unix »

Hmm, kann ich alles nachvollziehen.

Dein Beispiel ist ein edge case, aber möglich.

An diese Online-Prüf-Tools habe ich ehrlich gesagt gar nicht gedacht.

Aber de facto haben wir in einem normalem Setup (ich gehe davon aus, jeder aktiviert HSTS) ein defekte Seite, wenn die Domain deaktiviert wird.

Könnte man dann nicht einfach grundsätzlich die disabled Seite vom Panel ausliefern?
mfg Micha
--
If Bill Gates had a nickel for every time Windows crashed …
… oh wait, he does.
Pinky
Posts: 29
Joined: Mon 28. Sep 2020, 11:14

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Pinky »

Hallo zusammen,

hier ist ja viel passiert während ich weg war.
In meinem Fall handelt es sich um einen säumigen Kunden, dessen Webseite ich leider deaktivieren muss. Nachdem die Zahlungen letzten Monat ausgeblieben sind habe ich deaktiviert - diese Monat das selbe...

Zur Sache:
Ich glaube es wäre sinnvoll, die vhosts so zu belassen wie sie sind - das deaktivieren der Seiten könnte geregelt werden indem der document-root auf die "Seite ist gesperrt"-Inhalte umgeleitet wird. Zertifikate und alles könnt dann so bleiben wie es ist - es würden nur "deaktivierte" Inhalte angezeigt. Für den "Kunden sperren"-Fall wäre das ausreichend. Dass eine Umleitung dann auch zu einer anderen Domain führt finde ich irreführend - für alle Beteiligten und führt - wie oben ausgeführt - zu anderweitigen Problemen.

Ist das eine Option?


Gruß Pinky
User avatar
@ITS
Posts: 183
Joined: Tue 17. May 2022, 14:33

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by @ITS »

Bzgl. des letzten Vorschlages der Funktion "Kunden sperren" +1

Haben wir aktuell bei anderen Interface so, dass wir den Mailausgang als auch den vollständigen Account sperren können.
Das ist für manche durchaus praktikabel, siehe Beispiel von Pinky. Anderes Beispiel wäre bei Massenspam bzw. Kompromittierte Dateien od. Verstoß gegen Nutzungsrechte etc. wo eine temporäre Sperrung ein nötiges Tool wäre.

Daher bin ich für eine Funktion "User Deaktivierung/Aktivierung" die der Admin vollziehen kann.
Damit der Account nicht vollständig nutzbar - und die genutzten Dienste wie z. b. HTTP/FTP/SQL gesperrt werden.
MAIL nur bedingt od. nur Ausgang, falls dies auch die Kontakt/Verrechnungsmail des Kunden ist.
Super wäre demnach, die Dienste separat übers Interface beim jeweiligen User temporär sperren zu können.
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Zertifikatsproblem nach deaktivieren eines Kunden

Post by Alexander »

Kundenaccounts sperren gibt es schon:

Benutzerverwaltung -> Benutzer bearbeiten -> Checkbox - "Das Konto ist gesperrt"

Benutzerverwaltung -> Benutzer bearbeiten -> Automatisierung - Konto zum angegebenen Datum sperren
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Post Reply