Unable to verify the first certificate
-
@homoran said in Unable to verify the first certificate:
@m-a-hueb sagte in Unable to verify the first certificate:
mein Log mit Meldungen zugemüllt:
bitte Meldungen vollständig als Text in code-tags posten.
Und bitte bei allen Problemen die betreffenden VERSIONEN angeben
admin
js-controller
nodeund / oder gleich ein
iob diagin der Langfassung vollständig in Codetags posten. -
@mcm57 meine Versionen sind in meiner Signatur. Admin 6.13.16.
iob diag gibt unter windows das hier zurück:C:\ioBroker>iob diag iobroker [command] Commands: iobroker setup Setup ioBroker iobroker start [all|<adapter>.<instance>|<adapter>] Starts the js-controller or a specified adapter instance or all instances of an adapter iobroker stop [<adapter>.<instance>|<adapter>] stops the js-controller or a specified adapter instance or all instances of an adapter iobroker restart [<adapter>.<instance>|<adapter>] Restarts js-controller or a specified adapter instance or all instances of an adapter [aliases: r] iobroker debug <adapter>[.<instance>] Starts a Node.js debugging session for the adapter instance iobroker info Shows the host info iobroker logs [<adapter>] Monitor log iobroker add <adapter> [desiredNumber] Add instance of adapter [aliases: a] iobroker install <adapter> Installs a specified adapter [aliases: i] iobroker rebuild [<module>] Rebuild all native modules or path iobroker url <url> [<name>] Install adapter from specified url, e.g. GitHub iobroker del <adapter> Remove adapter and all instances from this host [aliases: delete] iobroker del <adapter>.<instance> Remove adapter instance [aliases: delete] iobroker update [<repositoryUrl>] Update repository and list adapters iobroker upgrade Upgrade management iobroker upload [all|<adapter>] Upload management [aliases: u] iobroker object Object management [aliases: o] iobroker state State management [aliases: s] iobroker message <adapter>[.instance] <command> [<message>] Send message to adapter instance/s iobroker list <type> [<filter>] List all entries, like objects iobroker chmod <mode> <file> Change file rights iobroker chown <user> <group> <file> Change file ownership iobroker touch <file> Touch file iobroker rm <file> Remove file iobroker file File management iobroker user User commands iobroker group group management iobroker host <hostname> Set host to given hostname iobroker set <adapter>.<instance> Change settings of adapter config iobroker license <license.file or license.text> Update license by given file iobroker cert Certificate management iobroker clean <yes> Clears all objects and states iobroker backup Create backup iobroker restore <backup name or path> Restore a specified backup iobroker validate <backup name or path> Validate a specified backup iobroker status [all|<adapter>.<instance>] Status of ioBroker or adapter instance [aliases: isrun] iobroker repo [<name>] Show repo information iobroker uuid Show uuid of the installation [aliases: id] iobroker unsetup Reset license, installation secret and language iobroker fix Execute the installation fixer script, this updates your ioBroker installation iobroker nodejs-update [<major-version>] Upgrade the Node.JS installation to the current LTS iobroker multihost Multihost management iobroker compact compact group management iobroker plugin Plugin management iobroker vendor <passphrase> [<vendor.json>] Update the vendor information using given passphrase iobroker version [<adapter>] Show version of js-controller or specified adapter [aliases: v] Options: --help Show help [boolean] -
Hat sich erledigt.
Es lag am Virenscanner. der hat die Zertifikatskette zerschossen -
@m-a-hueb
Danke fürs Feedback.Und ja, leider geht iob diag auf Windows nicht. Sorry hab das OS nicht beachtet.
-
@mcm1957 hab das gleiche Problem.
Ursache ist die Firewall die Zertifikate austauscht. Üblicherweise muss im Zertifikatstore der Anwendung das CA-Zertifikat der Firewall hinterlegt werden (damit trusted) .
Frage ist nun wie mache ich das für iobroker?
In npm habe ich das bereits gemacht (läuft auch)npm config set cafile /usr/local/share/ca-certificates/SecurityAppliance_SSL_CA.crtleider scheint das für iobroker nicht auszureichen
Ursache ist wohl die lib "ssl-root-cas" -
@neral12 said in Unable to verify the first certificate:
Ursache ist die Firewall die Zertifikate austauscht.
Das wäre für mich ein Grund, dieser Firewall gründlich zu Misstrauen...
-
@neral12
Keine Ahnung warum du mich gezielt ansprichst aber ich kann dir nichts zum Thema Zertifikate sagen. Beachte jedenfalls dass du ioBroker NIEMALS direkt aus dem Internet, auch nicht über eine Firewall, erreichbar machen solltest. -
@martinp na da sieht man das du dich damit nicht wirklich auskennst...
Eine Firewall die TLS nicht aufbricht/terminiert und neu verschlüsselt kann Daten logischerweise auch nicht scannen. Eine Firewalls die das nicht machen sind Steinzeit
-
@neral12 said in Unable to verify the first certificate:
@martinp na da sieht man das du dich damit nicht wirklich auskennst...
Eine Firewall die TLS nicht aufbricht/terminiert und neu verschlüsselt kann Daten logischerweise auch nicht scannen. Eine Firewalls die das nicht machen sind SteinzeitIst zwar OT
Damit ist aber eine Transportverschlüsselung hinfällig ...
Mag für manche Firmennetze zu (eher unerlaubtem wenn nicht dokumentiertem) Mitlauschen im Einsatz sein aber der Sinn von End to End verschlüsselten Verbindungen ist wohl dass sie nicht dazwischen entschlüsselt werden -
@mcm1957 Transportverschlüsselung ist damit natürlich nicht hinfällig. Du schließt doch auch nicht jeden Schrank in deiner Wohnung ab sondern die Wohnungstür...
und genau deshalb musst du den Endgeräten ja auch explizit sagen dass sie DEINEM Zertifikat vertrauen können.soll keine Werbung sein, nur etwas fundierte Ausführungen zu dem Thema: https://www.checkpoint.com/de/cyber-hub/network-security/what-is-ssl-inspection/
-
@neral12
OK, falsch fomuliert - nicht Transportverschlüsselung aber End-to-End Verschlüsselung ist hinfällig.Wenn ich mit meiner Bank kommuniziere will ich NICHT dass IRGENDWER der zwischen meinem PC und den Servern der Bank steht mitlesen kann. Detto will ich nicht das mein vpn nur mehr ein vn ist.
Natürlich macht es durchaus Sinn dass z.B. Firmen aus Schutzgründen JEDEN Verkehr mitlesen. Solange das klar kommuniziert wird und ich mich daher frei entscheiden kann ob ich Daten mit dem Firmenadmin teilen will ist das akzeptabel.
Aber hier wie schon geschrieben OT.
