StellwerkSim

Moin,

wollte gerade den STS starten, aber das JRE blockt die Ausführung wegen expired code signing
Zertifikat:



Wie kommts, das da Code mit derart ranzigem Cert ausgeliefert wird? Loadbalancer mit einem
veraltete Realserver dahinter?!

Gruß,
Daniel

Hallo Daniel,

hilft das hier?

https://doku.stellwerksim.de/doku.php?i ... cate_error

Gruß
Jochen

Hallo,

nein - wie auch. Im runtergeladenen https://www.stellwerksim.de/sts.jar kommt definitiv besagtes völlig
veraltetes Zertifikat mit:

C:\Program Files\Java\jre1.8.0_471\bin>keytool -printcert -jarfile C:\Users\xxx\Desktop\sts.jar
Signer #1:

Certificate #1:
Owner: CN=StellwerkSim Betriebs-Verein e.V., O=StellwerkSim Betriebs-Verein e.V., L=Ahaus, ST=Nordrhein-Westfalen, C=DE
Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G3, O=GlobalSign nv-sa, C=BE
Serial number: 5db7c5a27c3d3a0105033fb2
Valid from: Fri Nov 16 14:26:06 CET 2018 until: Tue Jan 25 12:00:29 CET 2022

Eben frisch per Firefox runtergeladen - also auch kein komischer JRE-Cachingeffekt oder so.

Das Problem liegt auf Serverseite.

Gruß,
Daniel

Hi,

das ist das Signierungs-Zertifikat für den Java-Code (hat nichts mit dem https-Zertifkat, also auch nichts mit irgendwelchen Loadbalancern/Realservern zu tun). Wenn wir das auf einfachem Wege updaten könnten, wäre das schon längst passiert. Insofern ist der verlinkte Artikel von Jochen schon richtig. Für das veraltete Zertifikat ist entsprechend die Ausnahme in Java (wieder, nicht in deinem Browser oder so) einzutragen.

Servus
Heinz

Hallo,

das ist das Signierungs-Zertifikat für den Java-Code (hat nichts mit dem https-Zertifkat, also auch nichts mit irgendwelchen Loadbalancern/Realservern zu tun).

Das ist mir völlig klar. Ich habe ja auch explizit das Zertifikat im JAR-File sts.jar geprüft, nicht das TLS-Cert.

Es hätte ja sein können das einer der Realserver hinter einem Loadbalancer ein veraltetes sts.jar mit besagtem veralteten code signing Cert ausliefert. Das hat in der Tat nichts mit TLS zu tun.
Aber offenbar erwartet ihr ja das der STS immer mit veraltetem code signing Cert kommt:

Wenn wir das auf einfachem Wege updaten könnten, wäre das schon längst passiert.

Hm, warum bekomme ich aber diesen Fehler erst heute? Security prompts habe ich nicht (bewußt) resetted...

Wo liegt das Problem mit dem Cert, kann man vielleicht helfen?

Insofern ist der verlinkte Artikel von Jochen schon richtig. Für das veraltete Zertifikat ist entsprechend die Ausnahme in Java (wieder, nicht in deinem Browser oder so) einzutragen.

Hatte den Artikel im Gefecht tatsächlich beim Querlesen in Bezug auf die Certwarnung falsch interpretiert. Anyway:
Die Ausnahme ist da schon eingetragen, und erlaubt in der Tat den "Haftungsausschluß".

Gruß,
Daniel

Muss mich an der Stelle einfach Interessehalber dranhängen, denn:
- es gibt seit Jahren nirgends keine vernünfitige Begründung für das Ausbleiben einers Zertifikats zu lesen
- permanent wird auf den Workaround hingewiesen

Wem es an der Stelle mit einem Blick ins Forum aufgefallen ist: Neuen Usern ist es zu mühsam Ausnahmen hinzuzufügen, insbesodere, wenn diese sich auf Zertifkate mit Ablaufdatum von vor knapp 4 Jahren beziehen.
Mit ist völlig bewusst, dass der ganze Aufwand hier in Freizeit geleistet wird und nicht alles sofort und jetzt am Start sein kann. Wenn man sich aber das Forum anschaut: Das Thema poppt alle 14 Tage auf, der Workaroud wird sofort genannt, insgesamt ist es aber nicht Benutzterfreundlich. Und ich stelle es mir mit meinem lausigen laienhaften wissen zu einfach vor. Daher: Klärt mich - und auch alle anderen User - doch gerne auf, warum wir seit Jahren drumherum arbeiten müssen. Geht es ums Geld, gehts um Know-How? Ich denke beide sollte hier kein Hindernis darstellen um der ganzen Sache zum Erfolg zu verhelfen.

Moin,

die Entwickler-Zertifikate für Java sind leider nicht ganz so einfach zu bekommen, wie es heute mit Let's Encrypt für HTTPS der Fall ist. Da stehen große Firmen hinter, mit relativ komplexen Sicherheitsanforderungen an den Nutzer (u.a. einen Hardware-Token, der Teil des Problems ist). Das Ganze ist eine Mischung aus "Kaum Zeit" bei den betroffenen Personen, Probleme bei mehreren Menschen mit Familie und Schichtdienst gemeinsame Termine zu finden und einem Rattenschwanz an anderen (technischen und organisatorischen) Abhängigkeiten im Hintergrund, die zuerst abgearbeitet werden wollen, um eine anständige Lösung herbei zu führen. Viele kleine und große Bausteine sind schon fertig oder fast fertig, aber es fehlen noch einige zentrale Änderungen an der Infrastruktur, damit alles zusammen kommt. Dazu kommen ab und an Unterbrechungen wegen Urlaub/Krankheit/etc. Im Endeffekt also ein ganz klassisches Projekt mit ehrenamtlichen Mitgliedern.

Und ja, uns Menschen im Hintergrund nervt die aktuelle Situation auch - nicht zuletzt, weil sie uns aktuell davon abhält, neue Funktionen und Fehlerbehebungen im Java-Teil des Sims umzusetzen (und teils auch im Webseiten-Teil). Ich selber sammel auch schon seit Jahren Dinge, die ich gerne anders hätte, und hab schon eine lange Liste von Links auf Forenbeiträge. Aber leider gehen einige Dinge nicht schneller.

Gruß,
DevonFrosch

Moin,

danke für die Erklärung.

Man könnte die Frage stellen, was sinnvoller ist: jahrelang keine Codeänderung vorzunehmen und die Nutzerschaft darauf zu trainineren, Code mit abgelaufene Zertifikaten abzunicken - oder Code mit Signatur ohne Beglaubigung einer trusted Root-CA auszuliefern. Beides ist aus Sicherheitsperspektive mehr als fragwürdig, aber letztere Variante würde wenigstens Updates erlauben. Andererseits ist ein abgelaufenes Zertifikat immer noch besser als keines (Beglaubigtes).

Aber ich verstehe das Dilemma, blöde Situation. Versteht es bitte nicht als Kritik.

Leider klingt es so als könnte man Euch da auch nicht wirklich helfen... :-S

Gruß,
Daniel5401 (ein langjähriger zufriedener Nutzer!)

Moin,

Java akzeptiert leider schon seit längerem keine selbstsignierten Zertifikate für JNLP mehr, ohne dass der Benutzer noch größere Umwege machen muss...

Wie gesagt, wenn es einfach wäre, hätten wir es schon gemacht.

Gruß,
DevonFrosch