gucky62
Stammgast
Musste heute leider mal wieder einige SSL Zertifikate die in meinem internen LAN eingesetzt werden erneuern.
Apple hat mich fast zu Verzweiflung getrieben. Egal ob unter MacOS, iOS/IPadOS immer hiess es das Zertifikate entspreche nicht den Standards. Die zuvor verwendeten, eben abgelaufenen Zertifikate, die genau gleich erstellt wurden, gingen bisher aber problemlos. Man finde das Problem, welches Apple hausgemacht hat.
Ursache ist die Gültigkeitsdauer der selbst signierten SSL-Zertifikate. (Mit eigener lokaler CA). Normalerweise stelle ich die auf 3 Jahre aus. Funktioniert auch in allen anderen OS wie Windows usw. bestens. Nur Apple muss mal wieder Sonderzüglein (Wohl mit Google-Chrom zusammen) fahren. Zuerst ging es wohl auf maximal 765 Tage, nun aber seit nicht so langer Zeit maximal auf 395 Tage runter. Was soll das nun wieder? Die Sicherheit wird damit nicht wirklich besser, nur nerviger und mehr Aufwand. Solche Zertifikate werden eh im LAN eingesetzt. Am liebsten würden sie wohl self signed Certs verbieten.
Nur um den Kommentaren zu Let's encrypt zuvor zu kommen. Nein, die sind keine Option, da eben im LAN, mit internet DNS Zobne (und IP Range) und ohne Access von Aussen, welcher Let's Encrypt zwingend benötigt. Dieser Dienst ist nur brauchbar für Services die im WAN erreichbar sind.
Da man dazu eher wenig im netz findet (Apple Sonderzug) mal als Info für diejenigen die ggf. auch auf dieses Problem stossen.
Gruss Daniel
Apple hat mich fast zu Verzweiflung getrieben. Egal ob unter MacOS, iOS/IPadOS immer hiess es das Zertifikate entspreche nicht den Standards. Die zuvor verwendeten, eben abgelaufenen Zertifikate, die genau gleich erstellt wurden, gingen bisher aber problemlos. Man finde das Problem, welches Apple hausgemacht hat.
Ursache ist die Gültigkeitsdauer der selbst signierten SSL-Zertifikate. (Mit eigener lokaler CA). Normalerweise stelle ich die auf 3 Jahre aus. Funktioniert auch in allen anderen OS wie Windows usw. bestens. Nur Apple muss mal wieder Sonderzüglein (Wohl mit Google-Chrom zusammen) fahren. Zuerst ging es wohl auf maximal 765 Tage, nun aber seit nicht so langer Zeit maximal auf 395 Tage runter. Was soll das nun wieder? Die Sicherheit wird damit nicht wirklich besser, nur nerviger und mehr Aufwand. Solche Zertifikate werden eh im LAN eingesetzt. Am liebsten würden sie wohl self signed Certs verbieten.
Nur um den Kommentaren zu Let's encrypt zuvor zu kommen. Nein, die sind keine Option, da eben im LAN, mit internet DNS Zobne (und IP Range) und ohne Access von Aussen, welcher Let's Encrypt zwingend benötigt. Dieser Dienst ist nur brauchbar für Services die im WAN erreichbar sind.
Da man dazu eher wenig im netz findet (Apple Sonderzug) mal als Info für diejenigen die ggf. auch auf dieses Problem stossen.
Gruss Daniel