• Wenn du hier im Forum ein neues Thema erstellst, sind schon Punkte aufgeführt die du ausfüllen musst. Das dient im Allgemeinen dazu die notwendigen Informationen direkt mit der Frage bereitzustellen.
    Da in letzter Zeit immer wieder gerne das Formular gelöscht wurde und erst nach 3 Seiten Nachfragen die benötigten Infos für eine Hilfe kommen, werde ich nun jede Fragestellung die nicht einmal annähernd das Formular benutzt, sofort in den Sondermüll schicken.
    Füllt einfach die abgefragte Daten aus und alle können euch viel schneller helfen.

XF2.2 Plötzlich SSL-Fehlermeldung

Silmarillion

Bekanntes Mitglied
Lizenzinhaber
Registriert
7. Nov. 2013
Beiträge
373
Punkte
93
20230517_183913.jpg

Diese Fehlermeldung bekommen seit heute einige Mitglieder. Es scheint sich wohl primär aufs Smartphone und den Chrome-Browser zu beschränken.
Ich nutze ein kostenloses SSL-Zertifikat von CloudFlare.

Weiß jemand, ob sich hier etwas entscheidend geändert hat, oder hat gar jemand die gleichen Probleme?

Gruß,
Christian
 
Ich liefere mal mehr Infos und hoffe, mal wieder, speziell auf Tipps von @mph , der ja den gleichen Server hat. :)

Ich habe seit über sechs Jahren eine Seite <---> Seite Verschlüsselung von Cloudflare eingerichtet.

4.png



Ein SSL-Zertifikat Seitens meines Hosters habe ich deshalb, bislang, nicht gebraucht.


1.png



Folgendes, kostenlose SSL-Zertifikat von Ionos bietet sich hierfür imho an:

2.png



Dieses Hoster-Zertifikat funktioniert allerdings nur mit den Original-Nameservern. Ergo müsste ich dann meine CloudFlare-Nameserver rausnehmen und könnte doch dann CF gar nicht mehr nutzen!?

3.png

Liebe Grüße,
Chris
 

Anhänge

  • 1.png
    1.png
    150,3 KB · Aufrufe: 3
Also ich nutzte die Einstellung "Vollständig (Strikt)" bei Cloudflare. Funktioniert seit jeher.. :cool:
 
Ich nutze kein Cloudflare.
 
Also ich nutzte die Einstellung "Vollständig (Strikt)" bei Cloudflare. Funktioniert seit jeher.. :cool:
Moin, Matze. Nutz Du "nur" CF als SSL-Zerti, oder noch ein weiteres Zertifikat Deines Hosters?

Was muss ich denn ändern, um auch "Strikt" nutzen zu können? Für was steht "CA"? Zertifikat? Und wie komme ich an dieses CA von CF?
 
Ich habe seit über sechs Jahren eine Seite <---> Seite Verschlüsselung von Cloudflare eingerichtet.
Das Setup ist IMHO Mist und IANAL unzulässig da die Kommunikation zwischen CloudFlare und deinem Server (ggf.) unverschlüsselt erfolgt (-> Art. 5 Abs. 1 lit. f, Art. 32 Abs 1 lit b DSGVO)

Ergo müsste ich dann meine CloudFlare-Nameserver rausnehmen und könnte doch dann CF gar nicht mehr nutzen!?
Korrekt.
 
Was muss ich denn ändern, um auch "Strikt" nutzen zu können?
Du benötigst auf deinem Server ein gültiges Zertifikat eines Anbieters (Zertifizierungsstelle, Certification Authority, CA - also DigiCert, Thawte, VeriSign, ZeroSSL, Let's Encrypt, etc.) dem CloudFlare vertraut.
 
Das Setup ist IMHO Mist und IANAL unzulässig da die Kommunikation zwischen CloudFlare und deinem Server (ggf.) unverschlüsselt erfolgt (-> Art. 5 Abs. 1 lit. f, Art. 32 Abs 1 lit b DSGVO)


Korrekt.
Andreas, altes Haus! :) Auf Dich ist, in der Not, auch immer Verlass. :thx:

Es gibt aber schon noch eine Variante, mit welcher man ein Hoster-Eigenes Zertifikat und CF nutzen kann!? ^

Oder sollte ich CF besser komplett aufgeben und nur noch zuschalten/nutzen, wenn es denn wirklich einmal notwendig erscheint?

Ich meine Ionos hätte sogar ein eigenes CDN.
 
Zuletzt bearbeitet:
Du benötigst auf deinem Server ein gültiges Zertifikat eines Anbieters (Zertifizierungsstelle, Certification Authority, CA - also DigiCert, Thawte, VeriSign, ZeroSSL, Let's Encrypt, etc.) dem CloudFlare vertraut.
Was "SSL Starter Wildcard" von Ionos erfüllen sollte!?
 
Es gibt aber schon noch eine Variante, mit welcher man ein Hoster-Eigenes Zertifikat und CF nutzen kann!?
Kommt ganz auf den Hoster an. Wenn der nur dann Zertifikate ermöglicht wenn der eigene Nameserver genutzt wird, dann wird es schwierig bis unmöglich.
Falls auch dann Zertifikate genutzt werden können wenn nicht der hauseigene Nameserver genutzt wird, dann sollte es funktionieren.
(Würde mich ehrlich gesagt arg wundern wenn es nicht ging, wäre reichlich peinlich wenn dem so wäre).

Oder sollte ich CF besser komplett aufgeben und nur noch zuschalten/nutzen, wenn es denn wirklich einmal notwendig erscheint?
Meine private Meinung zu CloudFlare ist denke ich hinlänglich bekannt ;)
 
Kommt ganz auf den Hoster an. Wenn der nur dann Zertifikate ermöglicht wenn der eigene Nameserver genutzt wird, dann wird es schwierig bis unmöglich.
Falls auch dann Zertifikate genutzt werden können wenn nicht der hauseigene Nameserver genutzt wird, dann sollte es funktionieren.
(Würde mich ehrlich gesagt arg wundern wenn es nicht ging, wäre reichlich peinlich wenn dem so wäre).
Ionos ist alles zuzutrauen. ;)
Aktuell geht es schon einmal nicht. Ich müsste jetzt also erst einmal CF deaktivieren, sprich auf die Original-Nameserver zurückswitchen. Dann das Zertifikat von Ionos aktivieren und anschließend versuchen wieder auf die CF-Nameserver zurückzugehen.

Meine private Meinung zu CloudFlare ist denke ich hinlänglich bekannt ;)
Und trotzdem nutzt Du/Ihr sie bei einigen Projekten. ;)
 
Deshalb schrieb ich ja private Meinung :)

Ich persönlich nutze CloudFlare nicht und werde dies mit an Sicherheit grenzender Wahrscheinlichkeit auch in Zukunft nicht tun.
 
Frage: wenn ich jetzt CF deaktiviere, sprich die Nameserver zurücksetze und das Ionos-Zertifikat aktiviere, empfiehlt Ionos die .htaccess um folgende Regel zu erweitern:

Code:
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Ich habe aber schon diese Regel in meiner .htaccess

Code:
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteCond %{SERVER_PORT} !^443$
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

Ist ja im Grunde dasselbe, nur halt etwas erweitert. Sollte ich meine Regel beibehalten, oder die von Ionos nutzen?
 
Kommt ziemlich aufs gleiche raus, die Rule von IONOS ist simpler:
Wenn HTTPs nicht an ist dann wird alles auf https://<host>/<uri>> weitergeleitet

Deine Rule
Wenn HTTPS nicht an ist und der Port nicht 443 ist und der Header X-Forwarded-Proto nicht https ist - dann wird alles auf https://<host>/<match> weitergeleitet.

Deine Rule würde also z.B. einen HTTP-Request auf Port 443 nicht weiterleiten (gibt aber keinen Sinn da auf Port 443 auf einem Webserver der auf diesem Port HTTPS fährt eh kein HTTP möglich ist).

Sie würde ebenso Requests auf Port 80 nicht weiterleiten wenn der Request-Header X-Forwarded-Proto: https enthalten ist; das könnte dazu führen dass ein Request nicht weitergeleitet wird (wenn ein Client per HTTP-Anfrage aber diesen Request-Header "einschummelt").
Für die Nutzung mit CloudFlare (ohne HTTPS zwischen CloudFlare und deinem Webserver) ist aber genau dieses Verhalten (Request kommt per HTTP an und soll nicht weitergeleitet werden) wichtig, sonst gibt es eine Endlosschleife ...
 
Kommt ziemlich aufs gleiche raus, die Rule von IONOS ist simpler:
Wenn HTTPs nicht an ist dann wird alles auf https://<host>/<uri>> weitergeleitet

Deine Rule
Wenn HTTPS nicht an ist und der Port nicht 443 ist und der Header X-Forwarded-Proto nicht https ist - dann wird alles auf https://<host>/<match> weitergeleitet.

Deine Rule würde also z.B. einen HTTP-Request auf Port 443 nicht weiterleiten (gibt aber keinen Sinn da auf Port 443 auf einem Webserver der auf diesem Port HTTPS fährt eh kein HTTP möglich ist).

Sie würde ebenso Requests auf Port 80 nicht weiterleiten wenn der Request-Header X-Forwarded-Proto: https enthalten ist; das könnte dazu führen dass ein Request nicht weitergeleitet wird (wenn ein Client per HTTP-Anfrage aber diesen Request-Header "einschummelt").
Für die Nutzung mit CloudFlare (ohne HTTPS zwischen CloudFlare und deinem Webserver) ist aber genau dieses Verhalten (Request kommt per HTTP an und soll nicht weitergeleitet werden) wichtig, sonst gibt es eine Endlosschleife ...
Und die nächste sehr gute Antwort. Du bist heute sehr gut aufgelegt. ;)

Dann belasse ich meine aktuelle Regel für den Fall, dass ich CF vielleicht doch noch einmal nutze. Könnte ja sein, dass die Thematik mit den Nameservern doch hinhaut, wenn ich das Ionos Zertifikat installiert habe. Und falls nicht, könnte ich CF zumindest im Notfall (DDOS) schnell mal vorübergehend zuschalten/aktivieren.
 
Wenn ich auf die Original Ionos-Nameserver-Einstellungen zurückswitchen will, erhalte ich folgende Meldung:

nameserver.png
Ich nutze aktuell ja noch die Cloudflare-Nameserver. Muss ich auf irgendetwas achten betreffend "DNS-Records"?
Ich denke nicht, und werde die NS wohl problemlos wieder zurücksetzen können?

Gruß,
Chris
 
Ich nutze aktuell ja noch die Cloudflare-Nameserver. Muss ich auf irgendetwas achten betreffend "DNS-Records"?
Ja. Wie ja der Meldung zu entnehmen ist müsstest Du alle benötigten Records (MX, TXT, SRV, etc.) bei Ionos eintragen bevor Du den Nameserver wechselst.

Welche Records das sind (und ob es überhaupt welche gibt) müsstest Du wissen, es ist deine Domain :)
Definitiv beantworten kann dir das (ohne Auflistung aller derzeitigen Records) ansonsten niemand.

Meine Vermutung wäre aber dass es keine relevanten Einträge gibt (es sei denn Du nutzt das XenForo-eigene DKIM, dann brauchst Du den zugehörigen Record).
Wie es mit MX / SPF aussieht kann ich dir auch nicht beantworten ohne dein Setup zu kennen.[/quote]
 
Zurück
Oben