Matze: HTTPS, wget, thawte, --no-check-certificate

Hallo,

ich habe meine Seite auf HTTPS umgestellt. Alle Requests auf http werden im virtual host auf https mit 301 geredirected.

<VirtualHost *:80>
        ServerName example.org        
        Redirect / https://example.org/
</VirtualHost>
<VirtualHost 123.456.78.90:443> 
        ServerName example.org
        # and so on..  

Klappt.

Nun passiert es, dass Thunderbird mein Logo nicht mehr in der Signatur attached (HTML signature).

Die HTML Signatur sieht aus wie folgt:

<img src="https://example.org/logo.png" width="96" height="29">

Ein wget auf die Resource zeigt:

$ wget https://example.org/logo.png
--2016-10-10 21:51:46--  https://example.org/logo.png
Resolving example.org (example.org)... 123.456.78.90
Connecting to example.org (example.org)|123.456.78.90|:443... connected.
ERROR: cannot verify example.org's certificate, issued by ‘CN=thawte SHA256 SSL CA,O=thawte\\, Inc.,C=US’:
  Unable to locally verify the issuer's authority.
To connect to example.org insecurely, use `--no-check-certificate'.

Jetzt verstehe ich nicht, warum ich - und somit die weite Welt dort draußen - wget irgendwelche Parameter mitgeben muss, um mein nicht suuper teures, aber durchaus kostspieliges SSL-Zertifikat zu akzeptieren.

Es sei gesagt, dass ich die Seite gerade heute umgestellt habe.

Any hints?

Danke, Matze

akzeptierte Antworten

  1. Hallo Matze,

    ohne den Domainnamen ist das nur geraten, aber stimmt die Zertifikatskette?

    Grüße

  2. Any hints?

    Tja. Hast Du bewusst Header-Daten zum Cachen übermittelt?. Falls nicht 72 Stunden vor solchen Umstellungen das Cachen verbieten.

    Wenn Du den Cache löschst, den Browser neu startet und das Problem dann nicht mehr auftritt lag es daran. Allerdings nur bei Dir. Bei allen anderen liegt es dann noch daran.

  3. Nun passiert es, dass Thunderbird mein Logo nicht mehr in der Signatur attached (HTML signature).

    <img src="https://example.org/logo.png" width="96" height="29">
    

    Noch was:

    1. Stimmt die Angabe des Hostnamens 1:1 mit dem Zertifikat überein? Es gibt Zertifikate, die gelten für "www.example.org" aber nicht für "example.org".
    2. Steht im Quelltext wirklich "https"? Der Browser könnte das Abholen von Seiteninhalten nämlich vermeiden wenn dort nur "http://" steht. Hilfreich wäre eine URL wo man sich das anschauen und mit den Browsertools die Requests und die Antworten prüfen kann.
    3. (Hint:) Verwende relative Links. Hier: '/logo.png'.
    1. Hallo Tagwächter,

      3. (Hint:) Verwende relative Links. Hier: '/logo.png'.

      verwende protokoll-relative Links. Hier '//example.org/logo.png'

      Bis demnächst
      Matthias

      --
      Dieses Forum nutzt Markdown. Im Wiki erhalten Sie Hilfe bei der Formatierung Ihrer Beiträge.
    2. Hallo,

      1. Stimmt die Angabe des Hostnamens 1:1 mit dem Zertifikat überein? Es gibt Zertifikate, die gelten für "www.example.org" aber nicht für "example.org".

      sowas könnte natürlich sein.

      1. Steht im Quelltext wirklich "https"? Der Browser könnte das Abholen von Seiteninhalten nämlich vermeiden wenn dort nur "http://" steht.

      Warum sollte er das vermeiden? Meinst du, wegen gemischter Inhalte, also gewöhnliches HTTP in sicherer Seite? - Dann sollte dieser Browser aber zumindest eine entsprechende Warnung anzeigen. Zumindest kenne ich das so.

      1. (Hint:) Verwende relative Links. Hier: '/logo.png'.

      Aber nicht in einer e-Mail-Signatur - und darum geht es Matze ursprünglich.

      So long,
       Martin

      --
      Es gibt eine Theorie, die besagt, dass das Universum augenblicklich durch etwas noch Komplizierteres und Verrücktes ersetzt wird, sobald jemand herausfindet, wie es wirklich funktioniert. Es gibt eine weitere Theorie, derzufolge das bereits geschehen ist.
      - (frei übersetzt nach Douglas Adams)
      1. Hallo allerseits,

        wie Erik K. bereits andeutete, fehlte bei mir in der Tat das Intermediate-CA.

        Auswirkung dessen war u.a. das besagte Thunderbird-Problem, aber noch andere Ungereimtheiten. Auch bekam ich nur ein B- bei https://www.ssllabs.com.

        Vielen Dank an alle für eure hilfreichen Tips!

        Matze

        1. (Hint:) Verwende relative Links. Hier: '/logo.png'.

        Aber nicht in einer e-Mail-Signatur - und darum geht es Matze ursprünglich.

        Muhaha. Da sollte man wegen "Nutzlosigkeit" gar nicht zu externen Ressourcen verweisen, weil 'ne Menge problembewusster Bürger nicht an ihren Mailagent rumfummeln um diese anzeigen zu lassen.

        Wenn irgend jemand meint, dass die Logos völlig unverzichtbar seien: Base64-kodiert ins Mail integrieren. Quelltext und Download