🚀 go-pugleaf

Michael Uplawski schrieb:

> Welche Funktion haben die Aliase des open-news-network?

Keine technische, die etwas mit Newsservern zu tun hätte.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

Naja, dann wird das Zertifikat für diese Namen nicht gelten. Auch da sehe
ich nicht, was das mit Newsserver-Software zu tun hätte.

> Eigentlich geht aber gar nix mit news1 bis 6. Wenn die Zertifikate explizit
> nicht für diese Alias gelten sollen, zu was sind sie gut (beide)?

Das ist eine Frage, die am ehesten der Betreiber beantworten kann.
Ansonsten wäre sie wohl in de.comm.provider.usenet on-topic.

Michael Uplawski <michael.uplawski@uplawski.eu> wrote:

> Holdrio.

Dideldu.

> Welche Funktion haben die Aliase des open-news-network?

Ich verstehe, was Du meinst.

Das sind keine Aliase sondern genau das, als was sie beispielsweise von
einem "openssl 509" ausgewiesen werden: Subject Alternative Names (SANs).
Das mag sich erbsenzählerisch anhören, macht aber einen nicht
unwesentlichen Unterschied. Ähnlich, wie DNS CNAME RRs keine "aliases"
sind :-|.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,
dass er diese ignorieren soll respektive ausschliesslich den CN im
Subject akzeptieren soll, mag aber auch einfach nur sein, dass die Let's
Encrypt Root CA (noch) nicht in Deinem Trusted Certificate Store
enthalten ist.

Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
"*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.

Vor einiger Zeit hatte Let's Encrypt sein Root Certificate umgestellt,
weil - so meine ich mich zu erinnern - u.a. deprecated MACs raus fliegen
sollten. Und die Art und Weise, wie Sie das getan haben, hat älteren
openssl-Versionen Probleme bereitet. Diese Sache wäre noch Klarungswürdig.

> [...]

Mit freundlichem Gruß
    Henning
--
Never worry about theory as long as the machinery does what it's supposed to do.
		-- R. A. Heinlein

Henning Hucke <h_hucke+spam.news@newsmail.aeon.icebear.org> wrote:
>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>> news6 verwende.
>
> Die Akzeptanz für ein Zertifikat ist im wesentlichen eine Frage "auf der
> eigenen Seite". Mag sein, dass Dein Newsreader noch keine Subject
> Alternative Names versteht, mag sein, dass irgendwo konfiguiert ist,

Es wird vermutlich eher daran liegen, dass die Namen des
"Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
eingetragen sind.

> Auf jeden Fall werden Namen wie "news1.mb-net.net" durch den SAN Wildcard
> "*.mb-net.net" gefangen, sodass das nicht das Problem sein sollte.

Eingetragen sind:

	CN:  mb-net.net
	SAN: dNSName=*.intranet.mb-net.net
	SAN: dNSName=*.mb-net.net
	SAN: dNSName=*.mx.mb-net.net
	SAN: dNSName=mb-net.net

Nichts davon passt auf news1.open-news-network.org oder
news6.open-news-network.org --> Zertifikatsfehler.

Heiko

Heiko Schlichting <heiko@cis.fu-berlin.de> wrote:

Hallo Heiko.

> Henning Hucke <h_hucke+spam.news@newsmail.aeon.icebear.org> wrote:
>>> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
>>> news6 verwende.
> [...]
> Es wird vermutlich eher daran liegen, dass die Namen des
> "Open-News-Network" gar nicht als Subject Alternative Names im Zertifikat
> eingetragen sind.
> [...]
> Eingetragen sind:
>
>         CN:  mb-net.net
>         SAN: dNSName=*.intranet.mb-net.net
>         SAN: dNSName=*.mb-net.net
>         SAN: dNSName=*.mx.mb-net.net
>         SAN: dNSName=mb-net.net
>
> Nichts davon passt auf news1.open-news-network.org oder
> news6.open-news-network.org --> Zertifikatsfehler.

Der Original Poster (OP) schrub lediglich den zitierten vollständigen
(DNS-) Namen und die "alternativen Service-Namen" "news1" und "news6".
Der fqdn ist genau so auflösbar, jene mit den alternativen Service-Namen
statt "news" in der Tat nicht.

Solche Schuhe ziehe ich mir nicht mehr an. Wer unpräzise Fragen stellt,
bekommt unpräzise Antworten. Meine Glaskugel zeigt mir (viele?)
Möglichkeiten aber ich teste sicherlich nicht (nicht mehr!) alle ab. Und
selbst wenn ich das tun würde, ist die "richtige" nicht notwendigerweise
mit dabei.
Also: Danke für den Hinweis. Ich denke, dass ich ihn richtig verstehe.
Und folgerichtig an den OP: Bitte stelle Deine Fragen zukünftig mit
besser aufbereiteten Informationen. Ich stecke gerne ein wenig
Gehirnschmalz in das korekte Verständnis von Fragen aber dass ich
mindestens drei fqdns hätte abfragen müssen, um Zweifel an Deiner
Fragestellung zu bekommen, liegt (erst seit enigen Monaten!) nicht mehr
in dem Bereich, den ich bereit bin zu investieren.

Henning
--
If you think technology can solve your problems you don't understand
technology and you don't understand your problems.  (Bruce Schneier)

Moin,

On 2023-08-18, Michael Uplawski <michael.uplawski@uplawski.eu> wrote:
> Welche Funktion haben die Aliase des open-news-network?

Nennen wir es: Historisch gewachsen.

> Das Zertifikat für news.mb-net.net wird nicht akzeptiert, wenn ich news1 oder
> news6 verwende.

ACK. Provisorien halten bekanntlich am längsten. Ich habe es gerade
gefixt und stelle mir einen Wecker für November...  Danke für den
Hinweis.

Bis die Tage,
MB

--
Michael Bussmann <bus@mb-net.net>