Chrome, macos 10.15, NET::ERR_CERT_INVALID  [GELÖST]

Locked
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by select name from me; »

Hallo zusammen,

bei einem neuen Server konnte ich mich, durch das selbst ausgestellte Zertifikat, nicht mehr in Chrome am Panel anmelden, um ein richtiges Zertifikat auszuwählen.

Dies betrifft den aktuellen Chrome unter macos ab 10.15 Catalina.

In diesem Beitrag https://forums.developer.apple.com/thread/119877 wird im letzten Beitrag eine mögliche Lösung vorgeschlagen.
With a recent openssl (e.g. 1.1.1) you can generate a working self-signed cert with:

Code: Select all

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem \
   -addext extendedKeyUsage=serverAuth -addext subjectAltName=DNS:localhost
Of course replace "localhost" with whatever SAN(s) (hostnames) you want in the certificate. As of right now it looks like you can skip the "subjectAltName" extension, but "extendedKeyUsage=serverAuth" is definitely required.
Vielleicht lässt sich das fixen?

Getestet habe ich es nicht. Man kann per Shell den Chrome so starten, dass er die Fehler ignoriert.

Code: Select all

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome  --ignore-certificate-errors
Viele Grüße, Christian
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by OlliTheDarkness »

select name from me; wrote: Fri 28. Feb 2020, 18:49 Hallo zusammen,

bei einem neuen Server konnte ich mich, durch das selbst ausgestellte Zertifikat, nicht mehr in Chrome am Panel anmelden, um ein richtiges Zertifikat auszuwählen.

Dies betrifft den aktuellen Chrome unter macos ab 10.15 Catalina.

In diesem Beitrag https://forums.developer.apple.com/thread/119877 wird im letzten Beitrag eine mögliche Lösung vorgeschlagen.
With a recent openssl (e.g. 1.1.1) you can generate a working self-signed cert with:

Code: Select all

openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem \
   -addext extendedKeyUsage=serverAuth -addext subjectAltName=DNS:localhost
Of course replace "localhost" with whatever SAN(s) (hostnames) you want in the certificate. As of right now it looks like you can skip the "subjectAltName" extension, but "extendedKeyUsage=serverAuth" is definitely required.
Vielleicht lässt sich das fixen?

Getestet habe ich es nicht. Man kann per Shell den Chrome so starten, dass er die Fehler ignoriert.

Code: Select all

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome  --ignore-certificate-errors
Liegt nicht am Chrome sondern an dem angefressenen Apfel, der scheinbar nen Wurm hat.
Spass bei Seite :D

Sehe das nicht als Fehler des Server´s / Panels sondern einem Fehler der die, in meinen Augen, teilweise überzogenen Sicherheitsfutures von Chrome schuldig sind.

Gruß Olli
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by select name from me; »

OlliTheDarkness wrote: Fri 28. Feb 2020, 18:56 Liegt nicht am Chrome sondern an dem angefressenen Apfel, der scheinbar nen Wurm hat.
Spass bei Seite :D
Die Ursache ist, soweit ich das sehe, eine Änderung an den Sicherheitsrichtlinien von macos und iOS.
Der Firefox verwaltet das unabhängig vom OS.
OlliTheDarkness wrote: Fri 28. Feb 2020, 18:56 Sehe das nicht als Fehler des Server´s / Panels sondern einem Fehler der die, in meinen Augen, teilweise überzogenen Sicherheitsfutures von Chrome schuldig sind.
Ich würde das nicht als Fehler bezeichnen und auch nicht als überzogen.
Da kommt auch noch mehr:
https://www.heise.de/mac-and-i/meldung/ ... 66010.html

Ich kann mit dieser Situation leben. Die erste Handlung ist sowieso ein anderes Zertifikat zu installieren.
Wenn es wenig Aufwand ist, und zusätzliche Fragen spart, freue ich mich, wenn es geändert wird.

Das Forum ist ja auch immer "Dokumentation". Allein deshalb lohnt es sich schon, so etwas zu dokumentieren. :)
Viele Grüße, Christian
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by nikko »

Wenn der Server FQDN bei Inbetriebnahme des neuen Servers bereits via DNS bekannt ist, stellt KH eigentlich (ich glaube nach dem Reboot) ein LE Zertifikat aus.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by Martin »

Hallo,

Das Let's Encrypt wird auch ausgestellt wenn der FQDN innerhalb von 12h nach Installation dann korrekt funktioniert. Da probiert es KeyHelp erneut wenn es direkt bei Installation noch nicht möglich war.
Viele Grüße,
Martin
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by select name from me; »

nikko wrote: Sun 1. Mar 2020, 19:40 Wenn der Server FQDN bei Inbetriebnahme des neuen Servers bereits via DNS bekannt ist, stellt KH eigentlich (ich glaube nach dem Reboot) ein LE Zertifikat aus.
Martin wrote: Mon 2. Mar 2020, 09:55 Hallo,
Das Let's Encrypt wird auch ausgestellt wenn der FQDN innerhalb von 12h nach Installation dann korrekt funktioniert. Da probiert es KeyHelp erneut wenn es direkt bei Installation noch nicht möglich war.
Das ist super und absolut sinnvoll.

Leider bin ich meistens nicht so schnell, wenn ich einen neuen Server bestelle. :mrgreen:
Viele Grüße, Christian
User avatar
Alexander
Keyweb AG
Posts: 3810
Joined: Wed 20. Jan 2016, 02:23

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID  [GELÖST]

Post by Alexander »

Habe heute meine ToDo-Liste aufgeräumt und bin durch Zufall noch einmal hierauf gestoßen.
Dachte damals das Problem löst sich mit neueren macOS-Versionen von selbst, aber es besteht auch noch auf aktuelleren Systemen...

-> Die Ursache ist dann künftig mit 22.1 gefixt

Das Problem mag zwar für einige nicht relevant erscheinen aber spätestens, wenn im Zuge einer Hostnamenumbenennung das KeyHelp-Panel-Zertifikat auf ein Self-Signed-Übergangszertifikat ausgetauscht wird, wirds akut bei Leuten mit macOS + Chrome.

(Aber auch idiotisch, obwohl die Ursache an zu peniblen Sicherheitsregeln, die seitens Apple eingeführt wurden liegt, tritt das Problem nur beim Chrome in Kombination mit MacOS ab 10.15 auf, beim hauseigenen Safari nicht kann man problemlos das nicht vertrauenswürdige self-signed überspringen).
Mit freundlichen Grüßen / Best regards
Alexander Mahr

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Chrome, macos 10.15, NET::ERR_CERT_INVALID

Post by select name from me; »

Alexander wrote: Thu 5. May 2022, 16:23 Habe heute meine ToDo-Liste aufgeräumt und bin durch Zufall noch einmal hierauf gestoßen.
Dachte damals das Problem löst sich mit neueren macOS-Versionen von selbst, aber es besteht auch noch auf aktuelleren Systemen...

-> Die Ursache ist dann künftig mit 22.1 gefixt

Das Problem mag zwar für einige nicht relevant erscheinen aber spätestens, wenn im Zuge einer Hostnamenumbenennung das KeyHelp-Panel-Zertifikat auf ein Self-Signed-Übergangszertifikat ausgetauscht wird, wirds akut bei Leuten mit macOS + Chrome.

(Aber auch idiotisch, obwohl die Ursache an zu peniblen Sicherheitsregeln, die seitens Apple eingeführt wurden liegt, tritt das Problem nur beim Chrome in Kombination mit MacOS ab 10.15 auf, beim hauseigenen Safari nicht kann man problemlos das nicht vertrauenswürdige self-signed überspringen).
Dankeschön :)
Viele Grüße, Christian
Locked