• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

Opgelost Verbinding is niet beveiligd?

Status
Niet open voor verdere reacties.

Berend Jansen

Gewaardeerd
Lid geworden
16 dec 2013
Berichten
1.333
Waarderingsscore
45
Sinds vandaag krijg ik een melding van Kaspersky Internet Security dat lichtfontein.nl niet beveiligd zou zijn:

156b1608-a566-4340-a863-ee09713b3788.png


Ik kan de site dus ook niet meer beheren.
Ook via een MacBook en de iPhone is er geen verbinding mogelijk:

4c7b882f-7dbb-4dfc-bbbd-b558be4ec0f4.png

Het vreemde is dat tot gisteren alles nog gewoon werkte.
Via 4G is de site wel gewoon bereikbaar.
Mogelijk dat het dan aan Ziggo ligt?
Zou wel vreemd zijn, omdat alle andere sites wel gewoon openen.

Het gekke is dat bij de provider zelf de pagina goed wordt geladen. Ook bij mijn schoonzoon, die Tele2 heeft, is er geen probleem.
Bij de "Ziggo-buren” kan de pagina ook niet geladen worden.
 
Dit is helemaal vreemd:

niet-veilig.jpg
 
Het zou kunnen dat Kaspersky een update heeft gehad en nu een valse melding geeft.
Want ik heb ook Ziggo en kan met Firefox de site zonder problemen openen.
 
Zou kunnen, maar ook via Safari op MacBook en iPhone krijg ik een melding.

niet-veilig2.jpg


Dit is nog gekker…

86f00c82-448b-4dfd-9512-784f64c86003.png
 
Op de MacBook krijg ik deze melding:

e8db3c36-ee9d-4ccd-bb26-cb8bce9bd7c9.png
 
Wel vreemd dat jij wel die meldingen krijgt, want ik het het getest op Firefox en Windows Edge zonder problemen.
Gebruik jij ook Kaspersky op de Macbook en Iphone?
 
Nee, iPhone en Macbook hebben geen antivirus.
Via de Ziggo Community kreeg ik o.a. dit antwoord:

"Het is een tikje complex, maar die partyverhuur draait op dezelfde fysieke server als jouw lichtfontein. Jij krijgt het certificaat gepresenteerd van de partyverhuur. Anderen krijgen het juiste certificaat. Hoe kan dat?

De server gedraagt zich verschillend wanneer deze wordt benaderd over IPv4 of over IPv6. Dat is een configuratie fout bij de hosting provider.

Via IPv4:

wget lichtfontein.nl
--2020-12-03 17:27:00-- hardwaretrader.net
Herleiden van lichtfontein.nl (lichtfontein.nl)... 193.242.108.75, 2001:1af8:2100:b070:6:0:79f2:d9f
Verbinding maken met lichtfontein.nl (lichtfontein.nl)|193.242.108.75|:80... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 301 Moved Permanently
Locatie: https://lichtfontein.nl/ [volgen...]
--2020-12-03 17:27:00-- https://lichtfontein.nl/
Verbinding maken met lichtfontein.nl (lichtfontein.nl)|193.242.108.75|:443... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK

Geen foutmeldingen, en na een redirect naar https keurig een “200 OK”

Echter Via IPv6:

wget lichtfontein.nl
--2020-12-03 17:22:59-- hardwaretrader.net
Resolving lichtfontein.nl... 2001:1af8:2100:b070:6:0:79f2:d9f, 193.242.108.75
Connecting to lichtfontein.nl|2001:1af8:2100:b070:6:0:79f2:d9f|:80... connected.
HTTP request sent, awaiting response... 200 OK

Daar mist de redirect naar https al (de “301 moved”). Over IPv6 krijg je doodleuk in eerste instantie een verbinding via http, dus zonder certifcaat. Dat is de 1e fout.
Dwing ik toch https af dan krijg ik:

wget https://lichtfontein.nl
--2020-12-03 17:23:30-- https://lichtfontein.nl/
Resolving lichtfontein.nl... 2001:1af8:2100:b070:6:0:79f2:d9f, 193.242.108.75
Connecting to lichtfontein.nl|2001:1af8:2100:b070:6:0:79f2:d9f|:443... connected.
ERROR: no certificate subject alternative name matches
requested host name 'lichtfontein.nl'.
To connect to lichtfontein.nl insecurely, use `--no-check-certificate'.

Een foutmelding over een ongeldig certificaat, de 2e fout. Dit moet je echt bij je hostingpartij neerleggen, daar staat het niet goed."
 
Wel een duidelijk antwoord.
Ik had eerder altijd Ipv6 aan staan, maar dat uitlaten zetten omdat de Sonos daar niet mee overweg kon. Dus verklaard dat mogelijk waarom ik geen foutmelding krijg.
Je kunt Ziggo vragen Ipv6 te veranderen in Ipv4.
 
Je kunt Ziggo vragen Ipv6 te veranderen in Ipv4.
Dat lost het probleem echter voor anderen niet op, want er zijn meer mensen die van ipv6 gebruik maken en je zou toch willen dat die ook de site kunnen bezoeken en geen gekke dingen te zien krijgen.

Ik denk dus dat het advies van Ziggo beter is, om het probleem bij de hostingpartij neer te leggen, die moeten zorgen dat de site en het Letsencrypt certificaat op ipv4 en ipv6 gewoon correct werkt.
 
Dat is natuurlijk ook een optie, maar je weet niet hoelang dat gaat duren en of iemand het wel gaat aanpassen. Dan is Ipv6 een snellere optie.
 
Van de hosting provider technicus kreeg ik de volgende mededeling:

“ Ik denk dat ik het gevonden heb. De DNSSEC record van lichtfontein.nl bleek opeens niet meer goed te zijn. Ik heb de DNSSEC keys opnieuw gegenereerd. Met een uur zou dit doorgevoerd moeten zijn bij SIDN. Daarna zou het probleem verholpen moeten zijn. Ik hou het hier nog even in de gaten vanavond.”

Nog even een uurtje wachten, dus...
 
Dat is een snelle reactie.
Hopelijk werkt het dadelijk wel zo als het hoort te zijn.
 
Ik hoop het. Via internet.nl krijg ik wel een aantal waarschuwingen.
De hosting provider gaat er mee aan het werk.


09696008-e603-48ef-a057-047ae6186fa9.png
 
En is al weer klaar! Alles werkt en de score op internet.nl is weer 100%.
Dat is het gemak van een, weliswaar wat duurdere, maar goede hosting provider. Die gaat ook 's avonds nog voor je aan het werk.
 
Fijn dat hun het hebben opgelost en toch heel snel.
 
Hosting provider hoeft niet perse duurder te zijn om goed te zijn.
Maar het blijkt wel zo te zijn dat je een hebt die snel en adequaat reageert, da's het belangrijkst!
Fijn te zien dat e.e.a. verholpen is.
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan