Pi-Stream – Google, SSL und Multi Domain Zertifikate

Aua. Was ein Akt. Wenn man sich am Rande der Internet Standards bewegt, dann muss man einiges einstecken. Und kann auch vieles lernen. Z.B. dass manche RFC Standards zwar tolle formale Vorgaben machen, sich im praktischen Leben aus den Umsetzungen dann aber schöne Fallstricke basteln lassen. Jetzt hat Oberlehrer Google zugeschlagen.

An den Inhaber von https://3.141592653589793238462643383279502884197169399375105820974944592.eu,
ab Oktober 2017 erscheint in Chrome (Version 62) die Warnung “NICHT SICHER”, wenn Nutzer auf einer HTTP-Seite Text in ein Formular eingeben oder eine HTTP-Seite im Inkognitomodus besuchen.
Unter den folgenden URLs auf Ihrer Website befinden sich Texteingabefelder wie < input type="text" > oder < input type="email" >. Diese lösen die neue Chrome-Warnung aus. Anhand der Beispiele sehen Sie, wo die Warnungen angezeigt werden, und können so entsprechende Maßnahmen zum Schutz der Nutzerdaten ergreifen. Diese Liste ist nicht vollständig.

[Hier standen dann 4 lange URLs.]

Die neue Warnung ist Bestandteil eines langfristigen Plans, alle über HTTP bereitgestellten Seiten als “nicht sicher” zu kennzeichnen.
So können Sie dieses Problem beheben:
Zu HTTPS migrieren

Eigentlich eine Frechheit. Was über 25 Jahre ohne Beanstandung durchging, wird jetzt zum Sicherheitsproblem. Sicher ist es gut, wenn Daten von Besuchern geschützt werden, insbesondere wenn es ums Geld und ums Private geht. Aber wegen ein paar Kommentaren und den dazugehörigen Email Adressen einen so zu nötigen ist nervig. Und kostet. Zeit und/oder Geld. Gott sei Dank gibt es mittlerweile dank Letsencrypt vernünftige kostenlose SSL Zertifikate. Doch beim Versuch ein solches mit Hilfe von Plesk für meine Pi-Domain anzulegen, hats geknallt. Anscheinend versucht die Software den Domainnamen in das Common Name Feld einzutragen. Dummerweise ist das gemäß RFC 5280 aber auf 64 Zeichen beschränkt. Da hat wohl wer gepennt. Meine Domain besteht im Kern aus 63 Ziffern, das ist übrigens auch das maximal erlaubte, doch das 3. für die Subdomain und die 3 Zeichen für .eu machen daraus eine Zeichenkette mit 63 + 2 + 3 = 68 Zeichen Länge. Was locker die 64 Zeichen Grenze sprengt.

Bei einer Zu-Fuß Installation hätte man jetzt einen kürzeren Namen (oder gar keinen) in das Common Name Feld eingeben können, mit gewissen Restrisiken, dass Browser meckern. Aber via Plesk ist dieser Fall gar nicht vorgesehen. Daher musste ich tricksen und das Dilemma über den Umweg eines Multi Domain SSL Zertifikates auflösen. Ich habe mir mit pi-stream.de eine freie und kurze PI-Domain geholt, diese Domain eingerichtet und die langen Ziffern-Domains als Alias Domains dazu gepackt. Dummerweise musste ich vorher die alte Domain mitsamt Inhalten beerdigen und in das andere Domain Abonnement umziehen. Bei dieser Konstellation kann man dann Letsencrpyt überreden, ein gemeinsames SSL Zertifikat für alle beteiligten Domains zu basteln. Es wird dann der kurze Name in das Common Name Feld geschrieben und die langen Namen landen dann im Feld für die Alternativen Domainnamen (Subject Alternative Name, kurz SAN). So sieht der SAN Eintrag im hiesigen Fall aus:

DNS-Name: 141592653589793238462643383279502884197169399375105820974944592.eu
DNS-Name: 3.141592653589793238462643383279502884197169399375105820974944592.eu
DNS-Name: pi-stream.de
DNS-Name: www.141592653589793238462643383279502884197169399375105820974944592.eu
DNS-Name: www.pi-stream.de

Ich glaube, meine Pi Domain gehört damit zu einer ganz kleinen Menge von 63 Zeichen Domains, die sich eines SSL Schutzes rühmen dürfen. Beim Prüfen des SSL Zertifikates ist mir erstmalig aufgefallen, dass im Google Chrome das Anklicken des Sicherheitsschlosses nicht mehr ausreicht, um sich die Zertifikatedaten anzeigen zu lassen. Man muss schon die Entwicklerkonsole bemühen, um an die Informationen zu gelangen. Auch eine Frechheit und Entmündigung. Google glaubt wohl, der Normalbürger ist damit überfordert und braucht solch eine Info nicht. Wobei Microsofts Edge noch eine Stufe schlimmer ist als Googles Chrome, da gibt es gar keine Möglichkeit an die Zertifikat-Informationen heran zu kommen.

Übrigens funktioniert der Seiten-Zugriff jetzt nur noch für Browser mit SNI Support. Server Name Indication ist eine Erweiterung des Transport Layer Security (TLS) Netzwerk Standards, der es erlaubt, dass unterschiedliche Domains über dieselbe IP mit verschiedenen Zertifikaten bedient werden können. Alte Geräte und Browser, z.B. IE auf Windows XP, sind damit außen vor. Das kann man jetzt erzieherische Maßnahme oder Nötigung nennen. Mich ärgert das zwar auch, aber noch mehr Zeit und Nerven kann und mag ich nicht mehr in die SSL Umstellung investieren. Sorry.

Ein Gedanke zu „Pi-Stream – Google, SSL und Multi Domain Zertifikate“

Schreibe einen Kommentar