XF2.2 Plötzlich SSL-Fehlermeldung

Diese Fehlermeldung bekommen seit heute einige Mitglieder. Es scheint sich wohl primär aufs Smartphone und den Chrome-Browser zu beschränken.
Ich nutze ein kostenloses SSL-Zertifikat von CloudFlare.

Weiß jemand, ob sich hier etwas entscheidend geändert hat, oder hat gar jemand die gleichen Probleme?

Gruß,
Christian

 

Laut SSL-Checker liegen keine Probleme vor.

SSL Checker

 

Ich liefere mal mehr Infos und hoffe, mal wieder, speziell auf Tipps von @mph , der ja den gleichen Server hat.

Ich habe seit über sechs Jahren eine Seite <---> Seite Verschlüsselung von Cloudflare eingerichtet.





Ein SSL-Zertifikat Seitens meines Hosters habe ich deshalb, bislang, nicht gebraucht.





Folgendes, kostenlose SSL-Zertifikat von Ionos bietet sich hierfür imho an:





Dieses Hoster-Zertifikat funktioniert allerdings nur mit den Original-Nameservern. Ergo müsste ich dann meine CloudFlare-Nameserver rausnehmen und könnte doch dann CF gar nicht mehr nutzen!?



Liebe Grüße,
Chris

 

Also ich nutzte die Einstellung "Vollständig (Strikt)" bei Cloudflare. Funktioniert seit jeher..

 

Ich nutze kein Cloudflare.

 

Moin, Matze. Nutz Du "nur" CF als SSL-Zerti, oder noch ein weiteres Zertifikat Deines Hosters?

Was muss ich denn ändern, um auch "Strikt" nutzen zu können? Für was steht "CA"? Zertifikat? Und wie komme ich an dieses CA von CF?

 

Moinsen, Markus.

Es kommt selten vor, dass Du mir mal nicht mit Rat und Tat zur Seite stehen kannst. Aber es kommt vor.

Nutzt Du denn die "SSL Starter Wildcard" von Ionos?

 

Das Setup ist IMHO Mist und IANAL unzulässig da die Kommunikation zwischen CloudFlare und deinem Server (ggf.) unverschlüsselt erfolgt (-> Art. 5 Abs. 1 lit. f, Art. 32 Abs 1 lit b DSGVO)

Korrekt.

 

Du benötigst auf deinem Server ein gültiges Zertifikat eines Anbieters (Zertifizierungsstelle, Certification Authority, CA - also DigiCert, Thawte, VeriSign, ZeroSSL, Let's Encrypt, etc.) dem CloudFlare vertraut.

 

Andreas, altes Haus! Auf Dich ist, in der Not, auch immer Verlass.

Es gibt aber schon noch eine Variante, mit welcher man ein Hoster-Eigenes Zertifikat und CF nutzen kann!? ^

Oder sollte ich CF besser komplett aufgeben und nur noch zuschalten/nutzen, wenn es denn wirklich einmal notwendig erscheint?

Ich meine Ionos hätte sogar ein eigenes CDN.

 

Was "SSL Starter Wildcard" von Ionos erfüllen sollte!?

 

Kommt ganz auf den Hoster an. Wenn der nur dann Zertifikate ermöglicht wenn der eigene Nameserver genutzt wird, dann wird es schwierig bis unmöglich.
Falls auch dann Zertifikate genutzt werden können wenn nicht der hauseigene Nameserver genutzt wird, dann sollte es funktionieren.
(Würde mich ehrlich gesagt arg wundern wenn es nicht ging, wäre reichlich peinlich wenn dem so wäre).

Meine private Meinung zu CloudFlare ist denke ich hinlänglich bekannt

 

Ionos ist alles zuzutrauen.
Aktuell geht es schon einmal nicht. Ich müsste jetzt also erst einmal CF deaktivieren, sprich auf die Original-Nameserver zurückswitchen. Dann das Zertifikat von Ionos aktivieren und anschließend versuchen wieder auf die CF-Nameserver zurückzugehen.

Und trotzdem nutzt Du/Ihr sie bei einigen Projekten.

 

Deshalb schrieb ich ja private Meinung

Ich persönlich nutze CloudFlare nicht und werde dies mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht tun.

 

Ja.

 

Frage: wenn ich jetzt CF deaktiviere, sprich die Nameserver zurücksetze und das Ionos-Zertifikat aktiviere, empfiehlt Ionos die .htaccess um folgende Regel zu erweitern:

Code (Text):

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
 

Ich habe aber schon diese Regel in meiner .htaccess

Code (Text):

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Ist ja im Grunde dasselbe, nur halt etwas erweitert. Sollte ich meine Regel beibehalten, oder die von Ionos nutzen?

 

Kommt ziemlich aufs gleiche raus, die Rule von IONOS ist simpler:
Wenn HTTPs nicht an ist dann wird alles auf https://<host>/<uri>> weitergeleitet

Deine Rule
Wenn HTTPS nicht an ist und der Port nicht 443 ist und der Header X-Forwarded-Proto nicht https ist - dann wird alles auf https://<host>/<match> weitergeleitet.

Deine Rule würde also z.B. einen HTTP-Request auf Port 443 nicht weiterleiten (gibt aber keinen Sinn da auf Port 443 auf einem Webserver der auf diesem Port HTTPS fährt eh kein HTTP möglich ist).

Sie würde ebenso Requests auf Port 80 nicht weiterleiten wenn der Request-Header X-Forwarded-Proto: https enthalten ist; das könnte dazu führen dass ein Request nicht weitergeleitet wird (wenn ein Client per HTTP-Anfrage aber diesen Request-Header "einschummelt").
Für die Nutzung mit CloudFlare (ohne HTTPS zwischen CloudFlare und deinem Webserver) ist aber genau dieses Verhalten (Request kommt per HTTP an und soll nicht weitergeleitet werden) wichtig, sonst gibt es eine Endlosschleife ...

 

Und die nächste sehr gute Antwort. Du bist heute sehr gut aufgelegt.

Dann belasse ich meine aktuelle Regel für den Fall, dass ich CF vielleicht doch noch einmal nutze. Könnte ja sein, dass die Thematik mit den Nameservern doch hinhaut, wenn ich das Ionos Zertifikat installiert habe. Und falls nicht, könnte ich CF zumindest im Notfall (DDOS) schnell mal vorübergehend zuschalten/aktivieren.

 

Wenn ich auf die Original Ionos-Nameserver-Einstellungen zurückswitchen will, erhalte ich folgende Meldung:


Ich nutze aktuell ja noch die Cloudflare-Nameserver. Muss ich auf irgendetwas achten betreffend "DNS-Records"?
Ich denke nicht, und werde die NS wohl problemlos wieder zurücksetzen können?

Gruß,
Chris

 

Ja. Wie ja der Meldung zu entnehmen ist müsstest Du alle benötigten Records (MX, TXT, SRV, etc.) bei Ionos eintragen bevor Du den Nameserver wechselst.

Welche Records das sind (und ob es überhaupt welche gibt) müsstest Du wissen, es ist deine Domain
Definitiv beantworten kann dir das (ohne Auflistung aller derzeitigen Records) ansonsten niemand.

Meine Vermutung wäre aber dass es keine relevanten Einträge gibt (es sei denn Du nutzt das XenForo-eigene DKIM, dann brauchst Du den zugehörigen Record).
Wie es mit MX / SPF aussieht kann ich dir auch nicht beantworten ohne dein Setup zu kennen.[/quote]