Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

You will reach the highest possible point in your business or profession.


rocksolid / de.comm.software.newsserver / Re: TLS - Trouble mit dem Open-News-Network

SubjectAuthor
* TLS - Trouble mit dem Open-News-NetworkMichael Uplawski
+- Re: TLS - Trouble mit dem Open-News-NetworkThomas Hochstein
+* Re: TLS - Trouble mit dem Open-News-NetworkHenning Hucke
|`* Re: TLS - Trouble mit dem Open-News-NetworkHeiko Schlichting
| `- Re: TLS - Trouble mit dem Open-News-NetworkHenning Hucke
`- Re: TLS - Trouble mit dem Open-News-NetworkMichael Bussmann

1
Subject: TLS - Trouble mit dem Open-News-Network
From: Michael Uplawski
Newsgroups: de.comm.software.newsserver
Organization: mediocre
Date: Fri, 18 Aug 2023 13:33 UTC
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news.mb-net.net!open-news-network.org!.POSTED.91-55-190-109.dsl.ovh.fr!not-for-mail
From: michael....@uplawski.eu (Michael Uplawski)
Newsgroups: de.comm.software.newsserver
Subject: TLS - Trouble mit dem Open-News-Network
Supersedes: <AABk32v7yWYAABSy.A3.flnews@kurti.uplawski.eu>
Date: Fri, 18 Aug 2023 15:33:55 +0200
Organization: mediocre
Message-ID: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=fixed
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 18 Aug 2023 13:33:55 -0000
Injection-Info: gwaiyur.mb-net.net; posting-host="91-55-190-109.dsl.ovh.fr:109.190.55.91";
logging-data="1826206"; mail-complaints-to="abuse@open-news-network.org"
User-Agent: flnews/1.2.1pre2 (for GNU/Linux)
Cancel-Key: sha256:hBI7SjRSV8VkX+Aa0UCSKChH2uX0Jhs7V3XbAs7+TDQ=
sha1:IUtXth5YAvRTDBKdc2kx0eVH+dY= sha256:tA8/ZgnM2OGDJmBf8BMRpoQ8RJpA4wI9vRoBJ86yt+U=
Cancel-Lock: sha256:9xQ2c1lV76LGtMKuGz6fFljbOleCorfRqJV45REka3U=
sha1:0SnkTsCm4MK60BrCHqD5NFohcsY= sha256:RFKy45I7D2R4bBUYYBi8yp0ucFqxz6SjEtmNM9Wq+ds=
sha1:vTjIM62xs6XDw5qTpy7DpFCiCT4= sha256:kuVbsKGDoZA/JEI/KhI/pYP+VZlbiJhevb/O6JRYg7A=
X-My-Languages: German (native), English (solid), French (assez correcte)
X-GnuPG: rsa3072 2023-04-05 0882CA23FB3153C616091ECDA4C3A039EB053246
X-Where: 48.5315730, -0.2593750
View all headers

Supersedes wegen mews gegen news

Holdrio.

Welche Funktion haben die Aliase des open-news-network?

Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
news6 verwende.

Dass andere Zertifikate einfach abgelaufen sind, ist noch nicht Gegenstand
meines Posts.

Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?

Cheerio.
Michael
--
Es ist an der Zeit

Subject: Re: TLS - Trouble mit dem Open-News-Network
From: Thomas Hochstein
Newsgroups: de.comm.software.newsserver
Date: Fri, 18 Aug 2023 20:41 UTC
References: 1
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news.szaf.org!thangorodrim.ancalagon.de!.POSTED.scatha-2.local!not-for-mail
From: thh...@thh.name (Thomas Hochstein)
Newsgroups: de.comm.software.newsserver
Subject: Re: TLS - Trouble mit dem Open-News-Network
Date: Fri, 18 Aug 2023 22:41:17 +0200
Message-ID: <dcsn.20230818224114.850@scatha.ancalagon.de>
References: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Info: thangorodrim.ancalagon.de; posting-host="scatha-2.local:10.0.1.1";
logging-data="26882"; mail-complaints-to="abuse@th-h.de"
User-Agent: ForteAgent/8.00.32.1272
X-NNTP-Posting-Date: Fri, 18 Aug 2023 22:41:14 +0200
X-Face: *OX>R5kq$7DjZ`^-[<HL?'n9%\ZDfCz/_FfV0_tpx7w{Vv1*byr`TC\[hV:!SJosK'1gA>1t8&@'PZ-tSFT*=<}JJ0nXs{WP<@(=U!'bOMMOH&Q0}/(W_d(FTA62<r"l)J\)9ERQ9?6|_7T~ZV2Op*UH"2+1f9[va
Cancel-Lock: sha1:w0xJialfxLMBg2t9WLXAAcT973o=
X-Clacks-Overhead: GNU Terry Pratchett
View all headers

Michael Uplawski schrieb:

> Welche Funktion haben die Aliase des open-news-network?

Keine technische, die etwas mit Newsservern zu tun hätte.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

Naja, dann wird das Zertifikat für diese Namen nicht gelten. Auch da sehe
ich nicht, was das mit Newsserver-Software zu tun hätte.

> Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
> nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?

Das ist eine Frage, die am ehesten der Betreiber beantworten kann.
Ansonsten wäre sie wohl in de.comm.provider.usenet on-topic.

Subject: Re: TLS - Trouble mit dem Open-News-Network
From: Henning Hucke
Newsgroups: de.comm.software.newsserver
Organization: aeon: think longer than you thought before
Date: Tue, 22 Aug 2023 05:51 UTC
References: 1
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: h_hucke+...@newsmail.aeon.icebear.org (Henning Hucke)
Newsgroups: de.comm.software.newsserver
Subject: Re: TLS - Trouble mit dem Open-News-Network
Date: Tue, 22 Aug 2023 05:51:30 -0000 (UTC)
Organization: aeon: think longer than you thought before
Lines: 42
Distribution: world
Message-ID: <uc1id2$3en$1@sirius.aeon.icebear.cloud>
References: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu>
Reply-To: Henning Hucke <h_hucke+news.reply@newsmail.aeon.icebear.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net EqKN9rnQtrVvhISyDBGC0QgVaBIBbj6XMMLiArBZmdsZ6TQ97a
X-Orig-Path: news.aeon.icebear.cloud!news1.aeon.icebear.cloud!.POSTED.romulus.aeon.icebear.cloud!not-for-mail
Cancel-Lock: sha1:QS0zpHkhB9BCRCAZf8yqyfN9Wu4= sha1:igSb7lqwKtNiVfOmPWWML2HTjY0= sha256:7q9/Pk5ug2oJ3m84qQbro5xPzGMfMnOwksRRbAxCOr4=
Injection-Date: Tue, 22 Aug 2023 05:51:30 -0000 (UTC)
Injection-Info: sirius.aeon.icebear.cloud; posting-host="romulus.aeon.icebear.cloud:fd09:afca:b044:1:4ecc:6aff:fecf:5c8f";
logging-data="3543"; mail-complaints-to="abuse+news@aeon.icebear.cloud"
User-Agent: tin/2.4.1-20161224 ("Daill") (UNIX) (Linux/4.9.0-15-amd64 (x86_64))
View all headers

Michael Uplawski <michael.uplawski@uplawski.eu> wrote:

> Holdrio.

Dideldu.

> Welche Funktion haben die Aliase des open-news-network?

Ich verstehe, was Du meinst.

Das sind keine Aliase sondern genau das, als was sie beispielsweise von
einem "openssl 509" ausgewiesen werden: Subject Alternative Names (SANs).
Das mag sich erbsenzählerisch anhören, macht aber einen nicht
unwesentlichen Unterschied. Ähnlich, wie DNS CNAME RRs keine "aliases"
sind :-|.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
dass er diese ignorieren soll respektive ausschliesslich den CN im
Subject akzeptieren soll, mag aber auch einfach nur sein, dass die Let's
Encrypt Root CA (noch) nicht in Deinem Trusted Certificate Store
enthalten ist.

Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.

Vor einiger Zeit hatte Let's Encrypt sein Root Certificate umgestellt,
weil - so meine ich mich zu erinnern - u.a. deprecated MACs raus fliegen
sollten. Und die Art und Weise, wie Sie das getan haben, hat älteren
openssl-Versionen Probleme bereitet. Diese Sache wäre noch Klarungswürdig.

> [...]

Mit freundlichem Gruß
Henning
--
Never worry about theory as long as the machinery does what it's supposed to do.
-- R. A. Heinlein

Subject: Re: TLS - Trouble mit dem Open-News-Network
From: Heiko Schlichting
Newsgroups: de.comm.software.newsserver
Organization: Freie Universitaet Berlin
Date: Tue, 22 Aug 2023 15:51 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!fu-berlin.de!uni-berlin.de!not-for-mail
From: hei...@cis.fu-berlin.de (Heiko Schlichting)
Newsgroups: de.comm.software.newsserver
Subject: Re: TLS - Trouble mit dem Open-News-Network
Date: 22 Aug 2023 15:51:27 GMT
Organization: Freie Universitaet Berlin
Lines: 27
Message-ID: <kkk3rvFhk4rU1@mid.uni-berlin.de>
References: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu>
<uc1id2$3en$1@sirius.aeon.icebear.cloud>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-15
Content-Transfer-Encoding: 8bit
X-Trace: news.uni-berlin.de ECuAxNfNUcJbea5qQ7mW1wafMVEHs+JKM3JN1G6GV1+cJg8uZIAw6B2vHJFFYckpc0t44=
Cancel-Lock: sha1:kjGKfFeERWPgJooybBIjkwI2JmE= sha1:DJHWFaBOx1p4pNV4hnqgJN3qg6A= sha256:2ISx9x7zUMRc6cumL6hMD5SDCeDwaVDHXohXpZy3Qi0=
User-Agent: slrn/1.0.3 (Linux)
View all headers

Henning Hucke <h_hucke+spam.news@newsmail.aeon.icebear.org> wrote:
>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>> news6 verwende.
>
> Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
> eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
> Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,

Es wird vermutlich eher daran liegen, dass die Namen des
"Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
eingetragen sind.

> Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
> "*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.

Eingetragen sind:

CN: mb-net.net
SAN: dNSName=*.intranet.mb-net.net
SAN: dNSName=*.mb-net.net
SAN: dNSName=*.mx.mb-net.net
SAN: dNSName=mb-net.net

Nichts davon passt auf news1.open-news-network.org oder
news6.open-news-network.org --> Zertifikatsfehler.

Heiko

Subject: Re: TLS - Trouble mit dem Open-News-Network
From: Michael Bussmann
Newsgroups: de.comm.software.newsserver
Organization: MB-NET
Date: Wed, 23 Aug 2023 09:50 UTC
References: 1
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news.mb-net.net!open-news-network.org!.POSTED.tardis.wan.mb-net.net!not-for-mail
From: nutzn...@mb-net.net (Michael Bussmann)
Newsgroups: de.comm.software.newsserver
Subject: Re: TLS - Trouble mit dem Open-News-Network
Date: Wed, 23 Aug 2023 11:50:25 +0200
Organization: MB-NET
Message-ID: <slrnueblj1.2cggn.nutznetz@goliath.intranet.mb-net.net>
References: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu>
Reply-To: usenet-202308@mb-net.net
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Info: gwaiyur.mb-net.net; posting-host="tardis.wan.mb-net.net:78.94.143.90";
logging-data="317417"; mail-complaints-to="abuse@open-news-network.org"
User-Agent: slrn/1.0.3 (Linux)
Cancel-Lock: sha1:l5b2WKRRLXZ9i1tEz/cI7FhgYGY=
sha1:m1sY1mzVKvAM1u0OyN4Y4aHmuxQ= sha256:24a5zioaXhBph1tIG03rYg63y2CA2wcD/yxmocCigsQ=
sha1:XE9uiSHwq337jOW9QrTNt2xKJ7M= sha256:XZkDloG7HJJV2POHgkoXVesugtDnWgMUfNqvnloDBns=
View all headers

Moin,

On 2023-08-18, Michael Uplawski <michael.uplawski@uplawski.eu> wrote:
> Welche Funktion haben die Aliase des open-news-network?

Nennen wir es: Historisch gewachsen.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

ACK. Provisorien halten bekanntlich am längsten. Ich habe es gerade
gefixt und stelle mir einen Wecker für November... Danke für den
Hinweis.

Bis die Tage,
MB

--
Michael Bussmann <bus@mb-net.net>

Subject: Re: TLS - Trouble mit dem Open-News-Network
From: Henning Hucke
Newsgroups: de.comm.software.newsserver
Organization: aeon: think longer than you thought before
Date: Wed, 23 Aug 2023 05:41 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: h_hucke+...@newsmail.aeon.icebear.org (Henning Hucke)
Newsgroups: de.comm.software.newsserver
Subject: Re: TLS - Trouble mit dem Open-News-Network
Date: Wed, 23 Aug 2023 05:41:57 -0000 (UTC)
Organization: aeon: think longer than you thought before
Lines: 45
Distribution: world
Message-ID: <uc4675$1gl$1@sirius.aeon.icebear.cloud>
References: <AABk33NDErcAABSy.A3.flnews@kurti.uplawski.eu> <uc1id2$3en$1@sirius.aeon.icebear.cloud> <kkk3rvFhk4rU1@mid.uni-berlin.de>
Reply-To: Henning Hucke <h_hucke+news.reply@newsmail.aeon.icebear.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net taCdIA62OGbOO0lvEQhY4w6MTl5aN686wgKmXzf4nhzt7nk3ys
X-Orig-Path: news.aeon.icebear.cloud!news1.aeon.icebear.cloud!.POSTED.romulus.aeon.icebear.cloud!not-for-mail
Cancel-Lock: sha1:gK8I8IWhcpAeZXByFMEjuHWPWno= sha1:FIl9NCs6pJh2heQAjuRbFzjxeSQ= sha256:c1RceTC6iKbsID5nflsg2wHl+emi63f0Z3AUd7QqZpE=
Injection-Date: Wed, 23 Aug 2023 05:41:57 -0000 (UTC)
Injection-Info: sirius.aeon.icebear.cloud; posting-host="romulus.aeon.icebear.cloud:fd09:afca:b044:1:4ecc:6aff:fecf:5c8f";
logging-data="1557"; mail-complaints-to="abuse+news@aeon.icebear.cloud"
User-Agent: tin/2.4.1-20161224 ("Daill") (UNIX) (Linux/4.9.0-15-amd64 (x86_64))
View all headers

Heiko Schlichting <heiko@cis.fu-berlin.de> wrote:

Hallo Heiko.

> Henning Hucke <h_hucke+spam.news@newsmail.aeon.icebear.org> wrote:
>>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>>> news6 verwende.
> [...]
> Es wird vermutlich eher daran liegen, dass die Namen des
> "Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
> eingetragen sind.
> [...]
> Eingetragen sind:
>
> CN: mb-net.net
> SAN: dNSName=*.intranet.mb-net.net
> SAN: dNSName=*.mb-net.net
> SAN: dNSName=*.mx.mb-net.net
> SAN: dNSName=mb-net.net
>
> Nichts davon passt auf news1.open-news-network.org oder
> news6.open-news-network.org --> Zertifikatsfehler.

Der Original Poster (OP) schrub lediglich den zitierten vollständigen
(DNS-) Namen und die "alternativen Service-Namen" "news1" und "news6".
Der fqdn ist genau so auflösbar, jene mit den alternativen Service-Namen
statt "news" in der Tat nicht.

Solche Schuhe ziehe ich mir nicht mehr an. Wer unpräzise Fragen stellt,
bekommt unpräzise Antworten. Meine Glaskugel zeigt mir (viele?)
Möglichkeiten aber ich teste sicherlich nicht (nicht mehr!) alle ab. Und
selbst wenn ich das tun würde, ist die "richtige" nicht notwendigerweise
mit dabei.
Also: Danke für den Hinweis. Ich denke, dass ich ihn richtig verstehe.
Und folgerichtig an den OP: Bitte stelle Deine Fragen zukünftig mit
besser aufbereiteten Informationen. Ich stecke gerne ein wenig
Gehirnschmalz in das korekte Verständnis von Fragen aber dass ich
mindestens drei fqdns hätte abfragen müssen, um Zweifel an Deiner
Fragestellung zu bekommen, liegt (erst seit enigen Monaten!) nicht mehr
in dem Bereich, den ich bereit bin zu investieren.

Henning
--
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)


rocksolid / de.comm.software.newsserver / Re: TLS - Trouble mit dem Open-News-Network

1
server_pubkey.txt

rocksolid light 0.9.12
clearnet tor