# StartSSL Cert Free - Firefox OCSP-Server Error



## F4RR3LL (23. Nov. 2014)

Servus Freunde der leichten Unterhaltung,

falls auch wer in das selbige Problem wie ich rennt, hier ne kleine Info.
Ich hab heute meine StartSSL Certs ihrem jährlichen update unterzogen. Danach wie immer auf allen Browsern getestet.
Und im Firefox bekam ich dann den folgenden Fehler angezeigt.

```
Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit wiki.nixhelp.de aufgetreten. Der OCSP-Server hat keinen Status für das Zertifikat. (Fehlercode: sec_error_ocsp_unknown_cert)

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.
```
Nachdem ich dann erstmal alles x fach überprüft hab und keinen Fehler entdecken konnte bin ich im Netz auf die Suche gegangen.
Ich habe folgenden Beitrag gefunden: https://forum.startcom.org/viewtopic.php?f=15&t=2654

Kurzer Auszug:
_"New requirements placed upon certificate authorities forced us to implement a new OCSP responder and related infrastructure. One of the drawbacks is that newly generated certificates are not yet known to the responder and if the site is accessed before that a cached response about an unknown certificate remains. We are looking into reducing that time, which however might have an effect on performance which is also very important to us. 
Current performance of the StartCom OCSP responders are very good and we'll like to keep it this way: https://revocation-report.x509labs.com
Unfortunately it will affect new installations."
_
Das heißt für mich in Zukunft, Cert verlängern oder erstellen und erst einen Tag später auf dem Server einspielen.


Gruß Sven

//Edit: Das betrifft nicht nur Class 1 Certs sondern auch alle anderen bei StartSSL


----------



## nowayback (25. Nov. 2014)

Ich schmeiss mal https://letsencrypt.org/ in den Raum. Damit "soll" ab Sommer 2015 der ganze Krempel wie Neuausstellung und Co. sich erledigt haben. 
Wenn ich mir anschau, wer da mit an Bord ist, geb ich dem Projekt sogar gute Chancen. Die Demos laufen zumindest in unseren Testumgebungen schon so wie sie sollen - soweit ich informiert bin. 
Achja und gratis soll es auch noch sein/werden ;-)


----------



## F4RR3LL (25. Nov. 2014)

Das klingt ja fast zu einfach  Aber wäre doch mal was, das wirklich Sinn macht. Beim ersten drüberlesen klingt das echt gut.

Gruß Sven


----------



## Till (25. Nov. 2014)

Zitat von nowayback:


> Ich schmeiss mal https://letsencrypt.org/ in den Raum. Damit "soll" ab Sommer 2015 der ganze Krempel wie Neuausstellung und Co. sich erledigt haben.
> Wenn ich mir anschau, wer da mit an Bord ist, geb ich dem Projekt sogar gute Chancen. Die Demos laufen zumindest in unseren Testumgebungen schon so wie sie sollen - soweit ich informiert bin.
> Achja und gratis soll es auch noch sein/werden ;-)


Das hört sich ja echt gut an. Hast Du es selbst auch schon getestet? Wenn ja, wo legt der die Zertifikate ab und baut er das selbst in den vhost ein, zumindest hört es sich ja so an auf der Webseite. dann müsste ich mir ja was überlegen wie ispconfig das feststellt damit da nicht überschrieben wird.


----------



## nowayback (25. Nov. 2014)

Zitat von Till:


> Hast Du es selbst auch schon getestet?


Wir haben es intern getestet, aber nicht ich persönlich. 



Zitat von Till:


> wo legt der die Zertifikate ab


das muss ich heute abend mal nachfragen. 



Zitat von Till:


> baut er das selbst in den vhost ein


Ja, aber zur Zeit nur im Apache. Nginx wird aber auch jeden Fall auch noch umgesetzt und soll funktionieren bis zum Launch.


----------



## Till (25. Nov. 2014)

> Ja, aber zur Zeit nur im Apache. Nginx wird aber auch jeden Fall auch noch umgesetzt und soll funktionieren bis zum Launch.


Ich hoffe mal dass das irgendwie konfigurierbar ist, dass es das cert besorgt ist ja nett, aber den vhost sollte es besser in Ruhe lassen und ich hoffe mal dass man auch den Platz irgendwo angeben kann, wo die certs des webs abgelegt werden. Ich hab es mal als feature request in den Bugtracker gesetzt, muss ich mir mal ansehen was man da so mit machen kann. Alles in allem auf jeden Fall eine positive Entwicklung.


----------



## F4RR3LL (25. Nov. 2014)

Wie schauts mit der Aktzeptanz in den Browsern aus... mit Serverumzügen etc... ich seh schon... da hab ich noch bissl was zu lesen.
Bzgl vhost rumfummeln, jau das wärs noch... wobei ich vermute, dass derzeit die Logik einfach nach namensgleichheit bei sites-available sucht, alles andere ergibt keinen Sinn.
Nunja mal schaun.

Gruß Sven


----------



## nowayback (25. Nov. 2014)

Zitat von nowayback:


> das muss ich heute abend mal nachfragen.


Momentan beim Apache werden die Keys abgelegt unter /etc/apache2/ssl/ und die Zertifikate unter /etc/apache2/certs/
Vor dem Ändern der Vhosts werden Backups angelegt, die man über das Tool auch wiederherstellen kann/können soll. Außerdem werden Backups der Keys und Zertifikate angelegt unter /var/lib/letsencrypt/keys-certs/


----------



## nowayback (26. Nov. 2014)

Nachtrag: Pfade sind anpassbar: https://github.com/letsencrypt/lets-encrypt-preview/blob/master/letsencrypt/client/CONFIG.py


----------



## nowayback (5. Juni 2015)

Damit der Thread nicht untergeht...
es geht vorran:
http://www.heise.de/newsticker/meld...r-alle-2679600.html?wt_mc=rss.ho.beitrag.atom

Grüße
nwb


----------



## ramsys (7. Juni 2015)

Hört sich interessant an, aber Sommer 2015 scheint mir sehr engagiert zu sein...


----------



## F4RR3LL (8. Juni 2015)

Warten wirs einfach ab...... bin da verhalten optimistisch...


----------



## ramsys (15. Sep. 2015)

Our First Certificate Is Now Live


----------



## phone2marcos (15. Dez. 2015)

Das klingt ja fast zu einfach  Aber wäre doch mal was, das wirklich Sinn macht. Beim ersten drüberlesen klingt das echt gut.


----------

