das zertifikat scheint abgelaufen zu sein:

www.fb18.de verwendet ein ungültiges Sicherheitszertifikat.

Das Zertifikat ist am 30.09.2008 23:32 abgelaufen.

(Fehlercode: sec_error_expired_certificate)

So. Gefixt. Hat ja nur ne Stunde gedauert. grml. Apache ist ein Stueck Dreckssoftware.
Ich hab neue Zertifikate geholt und wollte nur mal eins ausprobieren. Stellt sich raus, dass der Apache mit den alten Zertifiakten gar nicht erst anlaeuft! Der stirb einfach weg. Ohne alles. Nicht mal eine Fehlermeldung wird ausgespuckt. Im Gegenteil: Der "configtest" laeuft positiv durch.
Das Debuggen hat bisschen Zeit gekostet in der Server nur halb bis gar nicht zu erreichen war. Sorry dafuer.
Als Apache Debug Tipp: zu entfernende Teile der Config mit <IfDefine ARR> o.ae. prefixen, dann muss man sich nicht sorgen, dass man was vergisst.

Es gibt jetzt neue Zertifikate fuer:
* www.fb18.de
* fb18.de
* jabber.mafiasi.de
* planet.mafiasi.de
* fsr.mafiasi.de

Die neuen Zertifikate funktionieren nur im Firefox-3 anstandslos, wenn ich richtig informiert bin. Fuer nicht Firefoxer moegen die Fingerprints interessant sein:

# for i in fb18.de.crt fsr.mafiasi.de.crt jabber.mafiasi.de.crt planet.mafiasi.de.crt ; do echo -n "$i: " ; openssl x509 -noout -fingerprint -in $i; done
fb18.de.crt: SHA1 Fingerprint=B0:8F:8B:B8:1F:36:3F:B0:7E:DA:DD:14:64:7B:A8:8D:1A:74:10:52
fsr.mafiasi.de.crt: SHA1 Fingerprint=EC:C6:D2:4B:E7:11:7F:63:8B:C7:29:1B:24:1B:D4:BD:0F:23:7F:DC
jabber.mafiasi.de.crt: SHA1 Fingerprint=D3:8B:70:B4:F1:B7:C3:51:78:BF:48:04:2D:27:A7:6D:6C:02:08:2A
planet.mafiasi.de.crt: SHA1 Fingerprint=10:80:65:9A:B2:6E:A3:C3:06:58:6E:2C:44:EF:2C:CE:63:13:05:34
#

Und nochmal in sicher:

—–BEGIN PGP MESSAGE—–
Version: GnuPG v2.0.9 (GNU/Linux)
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=tnp+
—–END PGP MESSAGE—–

Es gibt wieder neue Zertifikate. Ich hoffe, es funktioniert ueberall.

# for i in fb18.de.crt fsr.mafiasi.de.crt jabber.mafiasi.de.crt planet.mafiasi.de.crt ; do echo -n "$i: " ; openssl x509 -noout -fingerprint -in $i; done
fb18.de.crt: SHA1 Fingerprint=48:08:98:B6:DB:E4:87:F5:9C:8F:D4:4D:D4:52:79:E6:FE:86:9B:05
fsr.mafiasi.de.crt: SHA1 Fingerprint=35:61:42:C8:9F:5A:86:2C:9B:04:A3:4D:E5:B0:66:EC:7F:36:EB:4F
jabber.mafiasi.de.crt: SHA1 Fingerprint=1D:1B:DD:AA:75:D1:6A:9E:33:80:8E:35:D8:74:74:B9:DB:4E:08:6F
planet.mafiasi.de.crt: SHA1 Fingerprint=1D:23:84:1D:E2:E0:44:68:6E:37:53:78:C3:35:4C:26:4D:47:8A:79
#
—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.9 (GNU/Linux)
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=
=+J1M
—–END PGP MESSAGE—–

Und wieder fast ein Jahr vorbei.

Neben neuen Zertifikaten haben wir jetzt auch einen Apache mit SNI support. Das ermoeglicht uns, blog.mafiasi.de und fsr.mafiasi.de auf einer IP zu hosten und SSL dafuer anzubieten. Ich werde den Server erst in ein paar Tagen neustarten, sodass noch die alten Zertifikate ausgeliefert werden und demnach auch die alten Fingerprints gueltig sind. Ausserdem hab ich den Camellia Cipher rauskonfiguriert, ich glaube aber kaum, dass das jemand von uns merken sollte.

# for i in fb18.de.crt fsr.mafiasi.de.crt jabber.mafiasi.de.crt planet.mafiasi.de.crt ; do echo -n "$i: " ; openssl x509 -noout -fingerprint -in $i; done
fb18.de.crt: SHA1 Fingerprint=7F:D5:62:7C:00:2B:ED:A7:9A:CB:F1:E6:74:13:98:2F:F3:20:50:D9
fsr.mafiasi.de.crt: SHA1 Fingerprint=EC:DD:96:74:F9:42:E0:3A:9C:EC:43:AA:85:9D:4F:BC:86:76:B2:E9
jabber.mafiasi.de.crt: SHA1 Fingerprint=1D:1B:DD:AA:75:D1:6A:9E:33:80:8E:35:D8:74:74:B9:DB:4E:08:6F
planet.mafiasi.de.crt: SHA1 Fingerprint=B1:86:4E:45:61:D1:66:58:0C:8D:52:53:70:57:D9:BB:19:DA:83:37
#
—–BEGIN PGP MESSAGE—–
Version: GnuPG v1.4.10 (GNU/Linux)
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=brHJ
—–END PGP MESSAGE—–

Moin,
bei meiner Verbindung mit jabber.mafiasi.de bekomme ich eine Fehlermeldung:

Das SSL-Zertifikat des Benutzerkontos jabber.mafiasi.de hat sich geändert oder die Verbindung wurde angegriffen.
Alter Fingerabdruck: 1D:1B:DD:AA:75:D1:6A:9E:33:80:8E:35:D8:74:74:B9:DB:4E:08:6F
Neuer Fingerabdruck: 35:FC:1B:6D:90:82:82:25:1B:69:DC:10:52:D7:ED:5A:90:94:46:44

Möchten Sie sich dennoch verbinden und den Fingerabdruck des Zertifikats aktualisieren?

Ja oder nein?
Der Fingerprint stimmt mit keinem der im Thread gegannten Fingerabdrücke überein.

Sonnige Grüße!

woops. Danke fuer den Hinweis. Der korrekte Fingerprint fuer jabber.mafiasi.de lautet:
SHA1 Fingerprint=1D:1B:DD:AA:75:D1:6A:9E:33:80:8E:35:D8:74:74:B9:DB:4E:08:6F

Ich war zu schnell: jabber.mafiasi.de laeuft auf einer anderen Maschine und das neue Zerifikat ist eben (nur) auf der neuen Maschine. Von da hab ich aber nicht dne Fingerprint geholt.
—–BEGIN PGP MESSAGE—–
Version: GnuPG v2.0.14 (GNU/Linux)

owFtkT1LA0EQhs9oBA9EUymCMKVaHIZ8D1gkXkIELUSwsNvLzXlr4l7Y2yNgrWAp
KQIiIugPEC0VQbBSK7WV/AhbC91ERAVhiuHleefzYHTQiCVeB6/OXpbm5gYeb88c
Y/nwcrcVBM3QApuJOoEXkQSXBFS5aBHv6VqoB1JSXRFUuNgk2ZRcqC90izkOSWub
eZyF3HIJGixSpNBcqxaTv/mFpI3JEto2FouYy6CdxGwRC2VMpTA/j3mdaDGPuXQv
SgW0S5gu43wesxXTXKr50GISdiIIa76gRgP/7U2Rp4BFHhAXejwmXJJ6mxWmXVqB
SLjgshAERQQbJLnH60wBDxWQo8EZEcnZfgFt7FM/ZgvWA6Hd4DMHuB6IOT1GZwpc
8fc4m+QHDWWZ+5UhIxEzhuMxfeo9wxwZ/37A2LRx4jvv5fZ5exU7pzcP1cKkF39b
NI6nrm+PeGflbqL79HyfueimPwoPnw==
=RjNn
—–END PGP MESSAGE—–

…

Was soll das jetzt für mich bedeuten? Dieser Fingerprint, 35:FC:…, soll ich den akzeptieren? Oder worauf soll ich jetzt warten?

Sonnige Grüße,
Marius

… und wieder ein Jahr vorbei?  Firefox meldet mir, dass das FB18-Zertifikat seit 6.9.2011 23:56 abgelaufen ist.
Bitte stelle doch jemand, der es kann, ein neues aus…

done.