Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: ubuntu.nl certificatie  (gelezen 8447 keer)

Offline Tom

  • Lid
ubuntu.nl certificatie
« Gepost op: 2015/04/05, 10:51:34 »
Voor het eerst dit bericht gekregen bij het opstarten van Ubuntu.nl Forum.
Zie onderstaande bijlage´s ,is daar iets over bekent ?
Vriendelijke groet Tom.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Offline jvecht

  • Lid
    • Just Vecht
Re: ubuntu.nl certificatie
« Reactie #1 Gepost op: 2015/04/05, 11:04:54 »
Ik had eveneens problemen maar nu inzake een OCSP certificaat toestand. Ik kwam met geen mogelijkheid meer op het forum, tot ik na wat Googlen via about:config  "security.ssl.enable_ocsp_stapling" op false zette.

Dat zint me trouwens niet, maar eerlijk gezegd weet ik daar ook niet precies de achtergronden van.

Is er wat veranderd?



Oh, mag a.u.b. mijn plaatje weer terug normaal? Ik vind dat persoonlijk helemaal niet leuk meer. Het is MIJN plaatje en blijf daar vanaf. Een kort grapje is prima, maar daar zijn we nu wel voorbij.
« Laatst bewerkt op: 2015/04/05, 11:07:09 door jvecht »
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021


Offline Tom

  • Lid
Re: ubuntu.nl certificatie
« Reactie #3 Gepost op: 2015/04/05, 11:16:05 »
Geen idee misschien controleert FF 37 strenger ?
Dit durf ik eerlijk gezet niet op false zetten > security.ssl.enable_ocsp_stapling  .
Ik ben dan weer na die vraag zie voorgaande bericht doorgegaan en heb zo een certificaat gemaakt ,ook niet zo erg blij mee .... afwachten dan maar.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Offline jvecht

  • Lid
    • Just Vecht
Re: ubuntu.nl certificatie
« Reactie #4 Gepost op: 2015/04/05, 11:39:52 »
security.ssl.enable_ocsp_stapling > false werkte ook niet meer, nou weer terug op true gezet en hop, ik zit er weer op.

GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline Henkp

  • Lid
Re: ubuntu.nl certificatie
« Reactie #5 Gepost op: 2015/04/05, 12:49:38 »
Dat bericht kreeg ik nu net ook.
Ik ben nu met Google Chroom bezig, en daar geen last mee.

Nog wel de avatar ondersteboven, wat geen gezicht is.

Maar ze zijn schijnbaar knap aan het gogelen na die die 1 april grap met dat irritante geluid.

Vanmorgen lag weer het hele Forum er uit.

Offline jan11000

  • Lid
Re: ubuntu.nl certificatie
« Reactie #6 Gepost op: 2015/04/05, 14:13:54 »
Krijg ook een security scherm.
Na wissen met bleachbit kom ik er weer op.
Na het bezoeken van meerdere sites, en ff afsluiten kom ik er niet meer op, dus weer bleachbit, dan kom ik er weer op.
« Laatst bewerkt op: 2015/04/05, 14:23:05 door jan11000 »

Offline jvecht

  • Lid
    • Just Vecht
Re: ubuntu.nl certificatie
« Reactie #7 Gepost op: 2015/04/05, 15:34:09 »
En ik moest hem weer terugzetten naar False ... .
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline Henkp

  • Lid
Re: ubuntu.nl certificatie
« Reactie #8 Gepost op: 2015/04/05, 17:29:28 »
Hier werkt het nu ook maar wel met een ander theme.  =D Dus de avatars staan niet meer op zijn kop.  =D =D

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ubuntu.nl certificatie
« Reactie #9 Gepost op: 2015/04/05, 18:02:27 »
Er zijn problemen met de OCSP server van Startcom, waar we ons certificaat vandaan hebben. Die zijn op de hoogte van het probleem en werken aan een oplossing.
In de tussentijd kan je Chrome/Chromium gebruiken ipv Firefox, die is minder strict met OCSP foutmeldingen.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ubuntu.nl certificatie
« Reactie #10 Gepost op: 2015/04/05, 18:12:59 »
PS. wel jammer dat er totaal niets over te lezen valt nu het wel weer werkt. De leden informeren wat er aan de hand is, zou best wel mogen hoor!!  ;) ;) :P
Ik heb gewerkt vannacht en mag aankomende nacht weer. Vandaag was ik dus in mijn bed en niet voor de computer...
Het is heel vervelend dat er dan iets stuk gaat, maar daar is helemaal niets aan te doen. Het is onmogelijk om met een klein team vrijwilligers de site 24 uur per dag in de gaten te houden.

Offline Tom

  • Lid
Re: ubuntu.nl certificatie
« Reactie #11 Gepost op: 2015/04/05, 19:40:49 »
Bedankt Johan van Dijk en slaap (rust en gezondheid) gaan absoluut voor !.
Netbook Xuby Xenial 16.04.5 Lts (totaal gestripte versie). Desktop Xuby Bionic 18.04.6 Lts Gestripte versie - Laptop Xuby Bionic 18.04.6 Lts. Ubuntu CoC Signed.Yes.

Offline jvecht

  • Lid
    • Just Vecht
Re: ubuntu.nl certificatie
« Reactie #12 Gepost op: 2015/04/05, 21:07:28 »
Begrepen, Johan. Dan moeten we gewoon even geduldig zijn.

Goede dienst vannacht!
GIMP bundel 2018  38 cursussen met mooi oefenmateriaal. Lekker lezen of er wat van opsteken!
  Boekje "Werken met Xubuntu" 5000+ downloads!
     Het Helpmij Magazine Mei 2021

Offline Ron

  • Forumteam
    • r0n
    • Over Tholen
Re: ubuntu.nl certificatie
« Reactie #13 Gepost op: 2015/04/05, 22:08:56 »
Je hebt helemaal gelijk Johan.
Maar er zijn meer vrijwilligers dan alleen jij als admin....toch? Je hoeft niet alles alleen te doen.  ;)
Een melding zoals je nu geeft, had een ander ook even kunnen doen.
Dennis en Swat zijn niet echt actief hier .........
Openstandaard Evangelist, OpenSource Promotor, OpenData voorstander.
Xubuntu gebruiker en voorstander
Er is ook nog een andere hobby.

Offline Ron

  • Forumteam
    • r0n
    • Over Tholen
Re: ubuntu.nl certificatie
« Reactie #14 Gepost op: 2015/04/06, 11:44:50 »
Wie heeft het in hemelsnaam over Dennis en Swat?
Jij, want dat zijn de enige admins, naast Johan.
Je kunt bij het zoeken naar leden, ook selecteren op functie.............
Openstandaard Evangelist, OpenSource Promotor, OpenData voorstander.
Xubuntu gebruiker en voorstander
Er is ook nog een andere hobby.

Re: ubuntu.nl certificatie
« Reactie #15 Gepost op: 2015/04/06, 13:42:51 »
Als er maar EEN admin is van het 'Forum Ubuntu-NL' en actief ...
Wordt het dan niet tijd om een paar 'Forum team leden' te 'promoveren' naar admin.
Uiteraard als zij/hij daarvoor geroepen voelt.
MvG,
MauRice
Registered Linux user: 473556

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: ubuntu.nl certificatie
« Reactie #16 Gepost op: 2015/04/06, 14:00:03 »
Je kan en dat heb ik al vaker geopperd, iemand "admin" maken voor als er iets mis gaat en de werkelijke admin kan niets doen, vanwege werk of eet ik veel.
Zoals te lezen was de oorzaak een verstoring bij Startcom, de leverancier van het certificaat. Meer klanten van Startcom hebben hier last van gehad. Ubuntu-nl kon weinig anders doen dan ff afwachten. Meer “Ubuntu-nl admins” hadden dit niet sneller kunnen oplossen.

Uitschakelen van de certificaatbeveiliging bij een kleine verstoring is geen goede optie. Als dit soort verstoringen vaker gaan optreden kan een andere certificaatleverancier worden overwogen (of t.z.t. Let's Encrypt  :) ).
Klik links bovenin op Documentatie

Offline testcees

  • Documentatieteam
    • testcees
    • www.testcees.nl
Re: ubuntu.nl certificatie
« Reactie #17 Gepost op: 2015/04/07, 00:33:26 »
De vraag is meer: heeft een certificaat een meerwaarde?
Het certificaat wordt gebruikt om de netwerkverbinding met Ubuntu-NL te beveiligen (versleutelen) en geeft een “slotje” voor https://forum.ubuntu-nl.org/index.php?action=login in de browser-adresbalk.

Zonder deze beveiliging kan de verbinding relatief eenvoudig worden afgeluisterd (bijv. openbare wifi). Het is ook aan Ubuntu-NL (de server) om  uitlekken van  vertrouwelijke gegevens (zoals een wachtwoord) te voorkomen.

Nadeel (en waarschijnlijke oorzaak van de verstoring): Een certificaat geeft afhankelijkheid met een (commerciële) certificaatautoriteit. Van een duurder certificaat kan je (nog meer) meerwaarde verwachten (geen idee, ben nieuwsgierig naar letsencrypt).

Een (voorlopig eenmalige) verstoring van meerdere uren (work-around was mogelijk) lijkt mij voor een niet-commercieel forum geen reden een ander certificaat(leverancier) te nemen of de beveiliging te schrappen.
« Laatst bewerkt op: 2015/04/07, 00:45:54 door testcees »
Klik links bovenin op Documentatie

Offline softbart

  • Lid
Re: ubuntu.nl certificatie
« Reactie #18 Gepost op: 2015/04/07, 09:20:08 »
Een ander probleem van het certificaat is dat het terug gaan van een zoekopdracht vastloopt.

groet,

Theo


Offline EZ-man

  • Lid
Re: ubuntu.nl certificatie
« Reactie #19 Gepost op: 2015/04/07, 10:08:16 »
Zonder deze beveiliging kan de verbinding relatief eenvoudig worden afgeluisterd (bijv. openbare wifi). Het is ook aan Ubuntu-NL (de server) om  uitlekken van  vertrouwelijke gegevens (zoals een wachtwoord) te voorkomen.

Dat is voor mij geen reden om bij storingen een andere browser te gebruik om het tijdelijke probleem te omzeilen.

Samenvattend (eigen waarneming + reacties van anderen)  over de toegang tot dit forum:

geen toegang
  Linux + Firefox
  Linux + Opera 12
  Windows + Opera 12
  Windows + Firefox

wel toegang (veiligheid discutabel)
  Windows + Opera 28
  Linux + Chromium / chrome

Geeft te denken. Slikken die google klonen alles of zijn ze "beter" ?

Een (voorlopig eenmalige) verstoring van meerdere uren (work-around was mogelijk) lijkt mij voor een niet-commercieel forum geen reden een ander certificaat(leverancier) te nemen of de beveiliging te schrappen.
Geheel mee eens. Als er gemuit wordt over de koffiemachine dan gaat het ons niet slecht.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ubuntu.nl certificatie
« Reactie #20 Gepost op: 2015/04/07, 12:14:52 »
Hier kan je meer lezen over OCSP (helaas niet in het Nederlands):
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
http://en.wikipedia.org/wiki/OCSP_stapling

In het kort is het een techniek om de geldigheid van een certificaat te controleren, of hij is ingetrokken door de uitgever (Startcom in ons geval).

In het eerste Wiki-artikel kan je lezen dat Chrome de OCSP checks heeft uitgezet vanwege privacy en snelheid.
Het is niet zo dat het niet checken een direct veiligheidsprobleem is.

Een ander probleem van het certificaat is dat het terug gaan van een zoekopdracht vastloopt.

groet,

Theo
Dat heeft niets te maken met het certificaat, maar alleen met de caching door je browser. De forumsoftware geeft aan welke pagina's gecached mogen worden en welke niet.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
Re: ubuntu.nl certificatie
« Reactie #21 Gepost op: 2015/04/07, 13:23:48 »
De keuze is heel simpel:
  • We laten de browser bepaalde zaken cachen, denk dan aan plaatjes, scripts, andere dingen die niet vaak veranderen. Alles wat via index.php geladen wordt, wordt niet gecached omdat dit o.a. je topics, antwoorden, pm's en -jawel daar is hij- zoekopdrachten zijn.
    Deze laatste groep kan niet gecached worden omdat je niet met oude informatie wil werken.

  • We laten de browser helemaal niets cachen, of we laten het de browser zelf uitzoeken wat hij doet (in de meeste gevallen dus niets cachen). Dit zorgt voor een toename in de belasting op de server en een grote toename in het dataverkeer, want alles moet bij iedere keer dat je een pagina opvraagt opnieuw gedownload worden.


Dit zijn de enige 2 opties die we hebben vanwege hoe SMF ontworpen is. Het is onmogelijk om bepaalde acties (het weergeven van een topic bijv.) niet te cachen, en een andere actie (het weergeven van de zoekresultaten bijv.) wel.

De reden dat we bij de overgang caching hebben aangezet is dat er voor beveiligde verbindingen meerdere keren per verzoek (dus per plaatje, per script, enz.) een aantal verzoeken heen en weer moeten tussen onze server en jouw browser. Dit kan bij drukte of een slechte internetverbinding het forum traag maken en het vergroot de belasting op de server.

Verder bespaart het ook enorm op bandbreedte wat voor mobieltjes of mensen met een trage verbinding interessant is. We waren voor de SSL-overgang al van plan om caching aan te zetten om deze reden. Dat deze twee ongeveer tegelijk ingevoerd zijn heeft te maken met hoe we dingen uitzoeken, plannen en testen.

Dus ja, het is onhandig en ik had het zelf ook graag anders gezien, maar ik denk dat we toch de juiste keuze gemaakt hebben door het grootste deel van wat mensen hier op het forum doen te versnellen.

Verder:
Ik heb het getest, en in Chrome en Opera (versie 12) gaat het wel goed. Het probleem zit in de recente versies (na 32) van Firefox.
De oorzaak is dat de server via "cache control" en "expires" headers je browser vertelt welke pagina's en onderdelen gecached mogen worden en welke niet. Een ander deel van de oorzaak is dat het zoeken gaat door de inhoud van het zoekveld via een POST-request naar de server te sturen.

Firefox heeft sinds kort wat aanpassingen gedaan zodat die beter luistert naar wat de server vertelt. De redenering is dat je niet wil dat je nog een extra bestelling plaatst bij een webwinkel, of nog een item verwijdert uit een bepaalde lijst of andere vergelijkbare dingen als je op de terugknop drukt.
Het is dus een extra veiligheidsmaatregel.

Een makkelijke oplossing is er helaas niet, omdat het forum bijna alles via hetzelfde index.php script doet. Het forum zelf bepaalt ook dat bepaalde dingen niet gecached moeten worden (je wil geen "nieuwe berichten" die al een dag in de cache zitten, je wil de echte nieuwe hebben). We kunnen dus niet zomaar alle caching uitzetten, want dan wordt het hele forum 10x zo traag.

Wat je wel kan doen om er omheen te werken: Gebruik een andere browser zoals Chromium of Chrome. Je kan ook met de middelste muisknop op een resultaat klikken om hem te openen in een nieuwe tab. Zo hoef je niet iedere keer terug te gaan naar de zoekpagina.
Je kan ook nog op de "probeer opnieuw" knop drukken zodat de pagina opnieuw geladen wordt.

Verdere discussie over de cache graag in dat topic.

Offline softbart

  • Lid
Re: ubuntu.nl certificatie
« Reactie #22 Gepost op: 2015/04/08, 09:25:02 »
Hier kan je meer lezen over OCSP (helaas niet in het Nederlands):
http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
http://en.wikipedia.org/wiki/OCSP_stapling

In het kort is het een techniek om de geldigheid van een certificaat te controleren, of hij is ingetrokken door de uitgever (Startcom in ons geval).

In het eerste Wiki-artikel kan je lezen dat Chrome de OCSP checks heeft uitgezet vanwege privacy en snelheid.
Het is niet zo dat het niet checken een direct veiligheidsprobleem is.

Een ander probleem van het certificaat is dat het terug gaan van een zoekopdracht vastloopt.

groet,

Theo
Dat heeft niets te maken met het certificaat, maar alleen met de caching door je browser. De forumsoftware geeft aan welke pagina's gecached mogen worden en welke niet.

Bedankt voor de uitleg.

groet,

Theo