Lets Encrypt SSL - Häufige Fragen

Ja, das habe ich so schon verstanden im Post, SNI. Das sollte Google aber können, sonst gibt es ja keine Alternativen. SSL-Default abschalten bringt ja auch nichts, dann kommt der nächste Host in der Reihe und das wäre hund-und-herrchen, das wäre tödlich, wenn der den Host vermischt. Wie Du sagtest, kennen wird ja leider.... Der Default-SSL liefert derzeit einfach nur ein 403 aus.

G greift unter anderem mit dem UA zu: "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.96 Mobile Safari/537.36 (compatible; Googlebot/2.1; +*** Link veraltet ***)

Ansonsten, wer kann denn kein SNI, außer IE6, Android 2.3, Java5 etc? Und wenn der G-Bot das nicht kann / könnte, warum ist die Seite dann richtig im Index? Dürfte dann ja nicht sein, denn dort kommt ein 403 und keine Webseite.

Habe mehr das Gefühl, als hätte Google entweder zig verschiedene Botkonfigurationen oder eben es gibt extra einen, der testet, wie es ohne SNI-Support aussieht.

Läuft der Default-SSL auf der gleichen IP wie die Seite, wo die Meldung kam?

Zitat

Läuft der Default-SSL auf der gleichen IP wie die Seite, wo die Meldung kam?

Ähm ja, muss er ja....

Default-SSL: IP1, IP2 und IP3
Webseite: IP2 und IP3

Ach stimmt. Was für ein Zertifikat liegt denn auf dem Default-SSL? Könntest Du da nicht einfach auch ein Let's Encrypt Zertifikat nehmen? Dann müsste es ja allenfalls ein SAN Mismatch geben, aber kein Fehler mehr wegen self-signed (wenn Google wieder ohne SNI testet).

Hatte ich auch schon überlegt. Dann wäre das "selbst signiert" weg, aber die Warnung wegen "falscher Domain" da, denn auf irgend eine gültige und erreichbare Domain müsste ich das Zertifikat ja ausstellen lassen.

Also der Bing-Bot hat entweder auch Probleme mit SNI oder die testen da nur was aus:

157.55.39.122 - - [01/Nov/2016:08:04:57 +0100] "GET /unterkunft/1934 HTTP/1.1" 301 515 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:04:58 +0100] "GET /robots.txt HTTP/1.1" 403 3483 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:04:59 +0100] "GET /robots.txt HTTP/1.1" 301 4804 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:05:00 +0100] "GET /robots.txt HTTP/1.1" 400 604 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:05:02 +0100] "GET /unterkunft/1934 HTTP/1.1" 301 4814 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:05:23 +0100] "GET /unterkunft/3799 HTTP/1.1" 301 515 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.122 - - [01/Nov/2016:08:05:24 +0100] "GET /unterkunft/3799 HTTP/1.1" 301 4814 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 7_0 like Mac OS X) AppleWebKit/537.51.1 (KHTML, like Gecko) Version/7.0 Mobile/11A465 Safari/9537.53 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.175 - - [01/Nov/2016:08:05:29 +0100] "GET /robots.txt HTTP/1.1" 301 505 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.175 - - [01/Nov/2016:08:05:30 +0100] "GET /robots.txt HTTP/1.1" 403 3483 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.175 - - [01/Nov/2016:08:05:32 +0100] "GET /robots.txt HTTP/1.1" 301 4804 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"
157.55.39.175 - - [01/Nov/2016:08:05:32 +0100] "GET /robots.txt HTTP/1.1" 400 604 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +https://beispiel.rocks/beispiel.rocks/www.bing.com/bingbot.htm)"

Die 301 sind klar, da griff er auf http zu. Die 403 können nur vom Default-SSL kommen, sonst gibt es kein 403 im System. Die 400 eigentlich nur der Versuch, eine unverschlüsselte Verbindung mit einem verschlüsselten Port aufzubauen. Wobei das aber nur den normalen Bot betrifft, der Mobile-Bing-Bot kam immer ans Ziel ???

Dazu dann noch entsprechende Fehlermeldungen:

[Tue Nov 01 08:05:30.620747 2016] [ssl:error] [pid 7441:tid 139744235202304] [client 157.55.39.175:25647] AH02261: Re-negotiation handshake failed: Not accepted by client!?
[Tue Nov 01 08:05:32.685442 2016] [ssl:error] [pid 7441:tid 139744226809600] AH02032: Hostname gastgeber-ruegen.de provided via SNI and hostname www.gastgeber-ruegen.de provided via HTTP are different

Mmh, eigentlich ist eine einmalige Sache nur Zufall.

So, mit dem angeblichen selbst signierten Zertifikaten bin ich einen Schritt weiter...... Hatte das gestern nämlich plötzlich auch mit gb60.ferien-netzwerk.de ... Und ja, selbst signiert stimmt schon, aber als normaler Browser kommt man da gar nicht hin, weil man ja auch den echten vHost zugreift und nicht auf default-ssl. Eigentlich, wenn der default-ssl aus ist....

SSLLabs löst es z.B. auch aus, wenn der default-ssl aktiv ist.... So, wie passiert das? Eigentlich recht einfach, wenn man erst mal einen Ansatz hat.

In Sachen SSLLabs und gb60 (das ist Servername, PTR, Mailname und hat einen eigenen vhosts). Da kommt mehreres zusammen. Der vHost an sich zeigt keine Wirkung, wenn der default-ssl an ist, denn der Apache nutzt automatisch den default-ssl, da gb60 auch "servername" ist. Erst wenn sich die beiden unterscheiden, wird der eigentliche vHost verwendet.

Das mit der Rügen-Seite war ähnlich. Hier wurde der PTR zur Domain aufgelöst (warum auch immer) und das ist eben auch gb60, daher die Warnung. Bei der anderen Warnung ebenso. Da erfolgt erst der Zugriff auf die eigentliche Domain, die das richtige Zertifikat hat, dann aber auch ein Zugriff direkt auf die IP und dort ist eben das selbst signierte.

Wo das hier her kommt, noch keine Ahnung

Zitat

AH02032: Hostname gastgeber-ruegen.de provided via SNI and hostname *** Link veraltet *** provided via HTTP are different

Komischerweise kommt das nur beim normalen Bing-Bot zwischendurch. Nicht bei Bing-Mobile, Google, Yandex, Ahrefs, MSN oder Yahoo....

Es reicht langsam .....

Google hat festgestellt, dass im momentan auf https://beispiel.rocks/hund-und-herrchen.de/ verwendeten SSL-/TLS-Zertifikat
der Domainname https://beispiel.rocks/hund-und-herrchen.de/ nicht enthalten ist. Das bedeutet, dass Ihre Website von einigen
Browsern nicht als sicher eingestuft wird.

Ist Google eigentlich nur noch bescheuert ???

Subject: hund-und-herrchen.de
Common names: hund-und-herrchen.de
Alternative names: hund-und-herrchen.de www.hund-und-herrchen.de
Valid from: Tue, 08 Nov 2016 17:25:00 UTC
Valid until: Mon, 06 Feb 2017 17:25:00 UTC (expires in 2 months and 28 days)
OCSP: *** Link veraltet ***
Revocation status: Good (not revoked)
Trusted: Yes

So langsam macht mich das echt kirre. Bin mal gespannt, bis Google das ins Ranking mit aufnimmt und man dann seine Webseite abschmieren sieht, weil Google zu blöd ist, ein Zertifikat zu lesen.

Ach ja, gleiche Sache wieder. Domain gestern in den WMT angemeldet, vor 10 Min die Warnung.

So, stehe in Kontakt mit Sven. So ganz schlau wird er nun doch nicht draus, wobei er erst meinte, es wäre ein temporäres Zertifikat gewesen, das da gefunden wurde, würden Hoster öfter so machen. Dann diskutiert und naja, nun ist es nicht mehr so klar. Wenn es wieder auftritt und reproduzierbar ist, dann gibt er es an die interne Abteilung weiter.

Sven von Google?

Ja, Sven von Google. Der Fall wird nun auch weitergegeben (oder ist es schon), denn ich konnte es mehrfach nachweisen. So wie es scheint ist das eine Meldung, die zwar stimmt, aber alt ist. Google griff ungefragt irgendwann mal auf die https-Version der Domain zu und bekam den default-SSL, da es SSL für die Domain nicht gab (Thema Wabse). Das merkte es sich. Dann kam der richtige SSL-vHost und die Anmeldung bei der Console. Daraufhin versendet Google dann die Warnung, auch wenn die so gar nicht mehr aktuell war. Noch nicht sicher oder bestätigt, aber das ist der Trend bisher.....

Google hat festgestellt, dass im momentan auf *** Link veraltet *** verwendeten SSL-/TLS-Zertifikat der Domainname *** Link veraltet *** nicht enthalten ist. Das bedeutet, dass Ihre Website von einigen Browsern nicht als sicher eingestuft wird. Aus diesem Grund blockieren viele Webbrowser den Zugriff von Nutzern auf Ihre Website und zeigen eine Sicherheitswarnung an. Hierdurch soll verhindert werden, dass das Surfverhalten der Nutzer von Dritten erfasst wird, wie es auf unsicheren Websites oftmals geschieht.

mmmhhhh.

Haste die Mail nun etwa auch bekommen

Ja, die Url war mal ganz kurz nicht im Zertifikat enthalten das stimmt, aber 5min später war sie drin, nach der Umstellung.
Die überarbeitete Webseite lief ja auf einer Test-Subdomain, danach alles auf die Hauptdomain umgeschrieben und anschließend erst das Zertifikat erstellt. Im Cyberfox kam auch schon die Meldung, Zertifikat ist nicht sicher bla und blub. Diese Meldung hatte sich nach 40s erledigt hatte. Heute morgen kam die Meldung von Google. Jetzt noch einmal mit einem SSL Checker das Zertifikat geprüft und alles scheint gut... Mmmh

So wie ich das aktuell sehe, ist das egal, ob die wirklich kurz fehlte oder SSL gar nicht aktiv ist. Der zeitliche Ablauf ist zu schnell, das schafft noch nicht mal Google Google hat die Seite irgendwann mal mit *** Link veraltet *** aufgerufen. Man beachte das fehlende www, das ist immer so. Dann kam der default-SSL-Host und somit ein falsches Zertifikat. Das stimmt also eigentlich alles, nur es ist eben eine Meldung, die schon Wochen oder Monate alt sein kann

Sieht man auch sehr gut an der Search Console. Wenn man da eine Domain neu anmeldet, dann sind da teilweise schon Nachrichten drinnen, die man vorher nie bekommen hat, auch wenn die Domain einem gehört, nur eben nicht angemeldet war.