Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
TLS - Trouble mit dem Open-News-Network
1 view
Skip to first unread message
Michael Uplawski
Aug 18, 2023, 9:02:55 AM8/18/23
to
Holdrio.
Welche Funktion haben die Aliase des open-news-network?
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.
Eigentlich geht aber gar nix mit mews1 bis 6. Wenn die Zertifikate explizit
nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?
Cheerio.
Michael
--
Es ist an der Zeit
Welche Funktion haben die Aliase des open-news-network?
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.
Eigentlich geht aber gar nix mit mews1 bis 6. Wenn die Zertifikate explizit
nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?
Cheerio.
Michael
--
Es ist an der Zeit
Michael Uplawski
Aug 18, 2023, 9:33:57 AM8/18/23
to
Supersedes wegen mews gegen news
Holdrio.
Welche Funktion haben die Aliase des open-news-network?
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.
Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
Holdrio.
Welche Funktion haben die Aliase des open-news-network?
Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.
Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.
Thomas Hochstein
Aug 18, 2023, 4:45:03 PM8/18/23
to
Michael Uplawski schrieb:
> Welche Funktion haben die Aliase des open-news-network?
Keine technische, die etwas mit Newsservern zu tun hätte.
Naja, dann wird das Zertifikat für diese Namen nicht gelten. Auch da sehe
ich nicht, was das mit Newsserver-Software zu tun hätte.
> Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
> nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?
Das ist eine Frage, die am ehesten der Betreiber beantworten kann.
Ansonsten wäre sie wohl in de.comm.provider.usenet on-topic.
> Welche Funktion haben die Aliase des open-news-network?
Naja, dann wird das Zertifikat für diese Namen nicht gelten. Auch da sehe
ich nicht, was das mit Newsserver-Software zu tun hätte.
> Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
> nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?
Ansonsten wäre sie wohl in de.comm.provider.usenet on-topic.
Henning Hucke
Aug 22, 2023, 11:38:03 AM8/22/23
to
Michael Uplawski <michael....@uplawski.eu> wrote:
> Holdrio.
Dideldu.
> Welche Funktion haben die Aliase des open-news-network?
Ich verstehe, was Du meinst.
Das sind keine Aliase sondern genau das, als was sie beispielsweise von
einem "openssl 509" ausgewiesen werden: Subject Alternative Names (SANs).
Das mag sich erbsenzählerisch anhören, macht aber einen nicht
unwesentlichen Unterschied. Ähnlich, wie DNS CNAME RRs keine "aliases"
sind :-|.
Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
dass er diese ignorieren soll respektive ausschliesslich den CN im
Subject akzeptieren soll, mag aber auch einfach nur sein, dass die Let's
Encrypt Root CA (noch) nicht in Deinem Trusted Certificate Store
enthalten ist.
Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.
Vor einiger Zeit hatte Let's Encrypt sein Root Certificate umgestellt,
weil - so meine ich mich zu erinnern - u.a. deprecated MACs raus fliegen
sollten. Und die Art und Weise, wie Sie das getan haben, hat älteren
openssl-Versionen Probleme bereitet. Diese Sache wäre noch Klarungswürdig.
> [...]
Mit freundlichem Gruß
Henning
--
Never worry about theory as long as the machinery does what it's supposed to do.
-- R. A. Heinlein
> Holdrio.
Dideldu.
> Welche Funktion haben die Aliase des open-news-network?
Das sind keine Aliase sondern genau das, als was sie beispielsweise von
einem "openssl 509" ausgewiesen werden: Subject Alternative Names (SANs).
Das mag sich erbsenzählerisch anhören, macht aber einen nicht
unwesentlichen Unterschied. Ähnlich, wie DNS CNAME RRs keine "aliases"
sind :-|.
Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
dass er diese ignorieren soll respektive ausschliesslich den CN im
Subject akzeptieren soll, mag aber auch einfach nur sein, dass die Let's
Encrypt Root CA (noch) nicht in Deinem Trusted Certificate Store
enthalten ist.
Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.
Vor einiger Zeit hatte Let's Encrypt sein Root Certificate umgestellt,
weil - so meine ich mich zu erinnern - u.a. deprecated MACs raus fliegen
sollten. Und die Art und Weise, wie Sie das getan haben, hat älteren
openssl-Versionen Probleme bereitet. Diese Sache wäre noch Klarungswürdig.
> [...]
Mit freundlichem Gruß
Henning
--
Never worry about theory as long as the machinery does what it's supposed to do.
-- R. A. Heinlein
Heiko Schlichting
Aug 22, 2023, 11:51:29 AM8/22/23
to
Henning Hucke <h_hucke+...@newsmail.aeon.icebear.org> wrote:
>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>> news6 verwende.
>
> Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
> eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
> Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
Es wird vermutlich eher daran liegen, dass die Namen des
>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>> news6 verwende.
>
> Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
> eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
> Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
"Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
eingetragen sind.
> Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
> "*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.
CN: mb-net.net
SAN: dNSName=*.intranet.mb-net.net
SAN: dNSName=*.mb-net.net
SAN: dNSName=*.mx.mb-net.net
SAN: dNSName=mb-net.net
Nichts davon passt auf news1.open-news-network.org oder
news6.open-news-network.org --> Zertifikatsfehler.
Heiko
Michael Bussmann
Aug 23, 2023, 5:50:27 AM8/23/23
to
Moin,
On 2023-08-18, Michael Uplawski <michael....@uplawski.eu> wrote:
> Welche Funktion haben die Aliase des open-news-network?
Nennen wir es: Historisch gewachsen.
ACK. Provisorien halten bekanntlich am längsten. Ich habe es gerade
gefixt und stelle mir einen Wecker für November... Danke für den
Hinweis.
Bis die Tage,
MB
--
Michael Bussmann <b...@mb-net.net>
On 2023-08-18, Michael Uplawski <michael....@uplawski.eu> wrote:
> Welche Funktion haben die Aliase des open-news-network?
ACK. Provisorien halten bekanntlich am längsten. Ich habe es gerade
gefixt und stelle mir einen Wecker für November... Danke für den
Hinweis.
Bis die Tage,
MB
--
Michael Bussmann <b...@mb-net.net>
Henning Hucke
Aug 23, 2023, 11:38:03 AM8/23/23
to
Heiko Schlichting <he...@cis.fu-berlin.de> wrote:
Hallo Heiko.
> Henning Hucke <h_hucke+...@newsmail.aeon.icebear.org> wrote:
>>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>>> news6 verwende.
> [...]
(DNS-) Namen und die "alternativen Service-Namen" "news1" und "news6".
Der fqdn ist genau so auflösbar, jene mit den alternativen Service-Namen
statt "news" in der Tat nicht.
Solche Schuhe ziehe ich mir nicht mehr an. Wer unpräzise Fragen stellt,
bekommt unpräzise Antworten. Meine Glaskugel zeigt mir (viele?)
Möglichkeiten aber ich teste sicherlich nicht (nicht mehr!) alle ab. Und
selbst wenn ich das tun würde, ist die "richtige" nicht notwendigerweise
mit dabei.
Also: Danke für den Hinweis. Ich denke, dass ich ihn richtig verstehe.
Und folgerichtig an den OP: Bitte stelle Deine Fragen zukünftig mit
besser aufbereiteten Informationen. Ich stecke gerne ein wenig
Gehirnschmalz in das korekte Verständnis von Fragen aber dass ich
mindestens drei fqdns hätte abfragen müssen, um Zweifel an Deiner
Fragestellung zu bekommen, liegt (erst seit enigen Monaten!) nicht mehr
in dem Bereich, den ich bereit bin zu investieren.
Henning
--
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Hallo Heiko.
> Henning Hucke <h_hucke+...@newsmail.aeon.icebear.org> wrote:
>>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>>> news6 verwende.
> Es wird vermutlich eher daran liegen, dass die Namen des
> "Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
> eingetragen sind.
> [...]
> "Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
> eingetragen sind.
> Eingetragen sind:
>
> CN: mb-net.net
> SAN: dNSName=*.intranet.mb-net.net
> SAN: dNSName=*.mb-net.net
> SAN: dNSName=*.mx.mb-net.net
> SAN: dNSName=mb-net.net
>
> Nichts davon passt auf news1.open-news-network.org oder
> news6.open-news-network.org --> Zertifikatsfehler.
Der Original Poster (OP) schrub lediglich den zitierten vollständigen
>
> CN: mb-net.net
> SAN: dNSName=*.intranet.mb-net.net
> SAN: dNSName=*.mb-net.net
> SAN: dNSName=*.mx.mb-net.net
> SAN: dNSName=mb-net.net
>
> Nichts davon passt auf news1.open-news-network.org oder
> news6.open-news-network.org --> Zertifikatsfehler.
(DNS-) Namen und die "alternativen Service-Namen" "news1" und "news6".
Der fqdn ist genau so auflösbar, jene mit den alternativen Service-Namen
statt "news" in der Tat nicht.
Solche Schuhe ziehe ich mir nicht mehr an. Wer unpräzise Fragen stellt,
bekommt unpräzise Antworten. Meine Glaskugel zeigt mir (viele?)
Möglichkeiten aber ich teste sicherlich nicht (nicht mehr!) alle ab. Und
selbst wenn ich das tun würde, ist die "richtige" nicht notwendigerweise
mit dabei.
Also: Danke für den Hinweis. Ich denke, dass ich ihn richtig verstehe.
Und folgerichtig an den OP: Bitte stelle Deine Fragen zukünftig mit
besser aufbereiteten Informationen. Ich stecke gerne ein wenig
Gehirnschmalz in das korekte Verständnis von Fragen aber dass ich
mindestens drei fqdns hätte abfragen müssen, um Zweifel an Deiner
Fragestellung zu bekommen, liegt (erst seit enigen Monaten!) nicht mehr
in dem Bereich, den ich bereit bin zu investieren.
Henning
--
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
0 new messages