Werden die Domains per nslookup aufgelöst? Dann nicht.
Ja werden sie.
Werden die Domains per nslookup aufgelöst? Dann nicht.
Ja werden sie.
U nochmal was neues in den Raum zu werfen:
https://github.com/fatedier/frp
Benutze ich seit Jahren problemlos um meine Zuhause gehosteten Services auch unterwegs nutzen zu können.
Setup wäre bei mir dann so:
[Homeserver]
Webservice...
FRP(c)
|
|
v
[VPS bei NC]
FRP(S)
Traefik / Nginx + Certbot
Dann kannst du certbot auf einem Public server so konfigurieren wie du willst bzw sollte da dann auch HTTP Authentifizierung gehen.
Für TLS im lokalen netzwerk (wenn du dann nicht über dein VPS routen willst) - benutze ich selbst signierte Zertifikate meiner eigenen "CA". Du könntest aber z.B. probieren die Zertifikate von deinem Server runter zu kopieren.
Für DNS hab ich einerseits im Netcup DNS die öffentliche IP meines VPS eingetragen, d.h. von unterwegs löst der im Internet auf, zuhause hab ich CoreDNS auf meinem Server laufen und "überschreibe" die öffentlichen einträge um direkt mit der lokalen IP zu sprechen.
Was ist denn bei der Untersuchung infolge meiner Fragen von oben herausgekommen?
Was ist denn bei der Untersuchung infolge meiner Fragen von oben herausgekommen?
Bin noch nicht weiter dazu gekommen. Komme erst die nächsten Tage wieder dazu
Das ist die Fehlermeldung:
Hacker könnten versuchen, deine Daten von xy.domain.de zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten. Weitere Informationen
net::ERR_CERT_AUTHORITY_INVALID
Dieser Server konnte nicht beweisen, dass er xy.domain.de ist. Sein Sicherheitszertifikat wird vom Betriebssystem deines Computers als nicht vertrauenswürdig eingestuft. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der deine Verbindung abfängt.
ERR_CERT_AUTHORITY_INVALID
Und welche Authority / Aussteller wird dir im Zertifikat angezeigt?
Validiert von: Nicht angegeben
Dass das Zertifikat als nicht gültig angegeben wird, hattest du schon geschrieben. Die Frage ist, warum. Und da kommen wieder meine Fragen von oben ins Spiel, die immer noch nicht beantwortet sind.
Validiert von: Nicht angegeben
Das ist nur der OU Parameter, nicht der vollständige Aussteller. Gehe bitte ins Zertifikat im Browser (welchen auch immer du benutzt) und prüfe den vollständigen Aussteller.
Den Punkt "Zertifikat anzeigen" gibt es doch nicht.. Weder in FF noch in Chrome. Ich weiß schon wo der sein soll, da ist aber nix...
Den Punkt "Zertifikat anzeigen" gibt es doch nicht.
Nur, wenn man http nutzt.
Wenn dir der Fehler angezeigt wird, solltest du eigentlich über die URL Zeile an das Zertifikat kommen.
Den Punkt "Zertifikat anzeigen" gibt es doch nicht..
Dann ist das auch keine ssl-Verbindung, sondern reines http.
Dann ist das auch keine ssl-Verbindung, sondern reines http.
Sag ich doch, dass das Schloß durchgestrichen ist und es kein SSL ist...
Wie gesagt...
Wo hast du denn diese Fehlermeldung her:?
Das ist die Fehlermeldung: Dies ist keine sichere Verbindung
Hacker könnten versuchen, deine Daten von xy.domain.de zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten. Weitere Informationen
net::ERR_CERT_AUTHORITY_INVALID
Dieser Server konnte nicht beweisen, dass er xy.domain.de ist. Sein Sicherheitszertifikat wird vom Betriebssystem deines Computers als nicht vertrauenswürdig eingestuft. Mögliche Gründe sind eine fehlerhafte Konfiguration oder ein Angreifer, der deine Verbindung abfängt.
Wo hast du denn diese Fehlermeldung her:?
Firefox. Da gibt es nichts weiteres. Kein Details von Zertifikat anzeigen oder ähnlich
Firefox
Vom Wording her stammt diese Meldung vom Chromium, und nicht von Firefox.
Wie du während der Meldung an das Zertifikat rankommst, hat dir DerRené in #50 gezeigt.
Für Chromium / Chrome habe ich dir Screenshots gezeigt.
Also prüfe bitte nochmal mit https://xy.domain.de in einem beliebigen Browser - bitte das https nicht vergessen.
Ansonsten kannst du das auch mit openssl auf der Kommandozeile prüfen.
openssl:
openssl s_client -showcerts -connect untrusted-root.badssl.com:https -servername untrusted-root.badssl.com
jeweils connect und servername Parameter anpassen.
CONNECTED(00000003)
depth=0 C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
verify error:num=18:self-signed certificate
verify return:1
depth=0 C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
verify return:1
---
Certificate chain
0 s:C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
i:C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Dec 11 12:44:30 2023 GMT; NotAfter: Dec 8 12:44:30 2033 GMT
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
issuer=C = US, ST = CA, L = Carlsbad, O = Linuxserver.io, OU = LSIO Server, CN = *
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1509 bytes and written 402 bytes
Verification error: self-signed certificate
---
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 18 (self-signed certificate)
---
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID: 90B5527623E8B1CA519143B64F428C889E27AF4DA690FE60E687775FBA5825EA
Session-ID-ctx:
Resumption PSK: CE2F5B0420D8A4C5E50A7E6FF804E6CA048BB755D19BEED43DB1935E057CD50961398205385740406FA3CD2CABD31B82
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 86400 (seconds)
TLS session ticket:
0000 - fa 26 8e 8a 65 9a 63 40-37 84 04 6b 93 83 7c d9 .&..e.c@7..k..|.
0010 - ea e4 f5 3b ad 91 b6 e8-4c 0e f7 ea f6 41 eb 5b ...;....L....A.[
Start Time: 1722517349
Timeout : 7200 (sec)
Verify return code: 18 (self-signed certificate)
Extended master secret: no
Max Early Data: 0
---
read R BLOCK
---
Post-Handshake New Session Ticket arrived:
SSL-Session:
Protocol : TLSv1.3
Cipher : TLS_AES_256_GCM_SHA384
Session-ID: BD1CDAAF3CC4A83EDF09814BD5400DBEBD7BEEB07E3556E468B174C4925D3B9A
Session-ID-ctx:
Resumption PSK: 77BB651BAE434615FC31B076162CC0A40485F4C9AE3CD3EC364DB3223E2697B8ED07464CFDDA3728594AE6CA7CE645B4
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 86400 (seconds)
TLS session ticket:
0000 - 69 26 7d 7a bb 89 b0 0f-e0 97 82 db 32 4a e1 e6 i&}z........2J..
0010 - a1 d6 79 ed 13 49 01 51-0f 63 09 e6 a4 d5 f5 3f ..y..I.Q.c.....?
Start Time: 1722517349
Timeout : 7200 (sec)
Verify return code: 18 (self-signed certificate)
Extended master secret: no
Max Early Data: 0
---
read R BLOCK
closed
Display More
Nutzt du irgendwelche Container Images von LinuxServer.io? (Liste: https://docs.linuxserver.io/images/)
Entsprechend wird auf der IP zumindest das Zertifikat von einem dieser Dienste ausgeliefert, und kein Zertifikat von Let's Encrypt.