Site über SSL dauert sehr lange

[format c: 10]

Hallo Board,

 

ich habe einen 2000 Server mit IIS. Darauf liegt ne ganz einfache HTML Seite.

 

Wenn ich nun die Seite mit HTTP aufrufe kommt sie sofort.

 

Wenn ich die Seite aber über HTTPS aufrufe, dann dauert das so ca. 30 Sekunden, dann kommt die Meldung das dass Zertifikat nicht vertrauenswürdig ist und mit einer Bestätigung ist die Seite auch gleich da.

 

OK, das das Zertifikat nicht vertrauenswürdig ist liegt daran, dass ich meine eigene Zertifikatstelle habe und nicht eines von VeriSign oder so.

 

Aber wieso dauert das so lange?

[BuzzeR 10]

... Zertifikat bei der ausstellenden CA zu validieren, deshalb dauert das

so lange.

 

Mal ganz davon abgesehen, dass Du Deine HTML-Seite bei korrekter

Konfiguration garnicht mit HTTP aufrufen dürftest.

 

LG

Marco

[mickey 10]

bzw. in deiner gpo bzw. AD dieses stammzertifakt als vertrauenswürdig stufen (serverstammzertifkat)...

 

sorry, hatte es gerade bei meiner prüfung :rolleyes: :rolleyes: :D

[format c: 10]

@BuzzeR

 

das ist schon klar. Ich habe aber wegen dem Problem mal den Haken rausgenommen um es zu testen. Im Normalbetrieb ist die Seite dann auch NUR über HTTPS zu erreichen.

 

Das Ganze soll also heißen:

 

Wenn ich ein Zertifikat über meine Stelle zur Verfügung stelle und ein Client geht auf die Site, dann dauert das deshalb so lange weil der Client die Zertifikatstelle sucht aber nicht kennt. Nach ner Weile erfolgloser Suche gibt er dann auf mit der Messagebox, oder?

 

Würde ich mir ein Zertifikat kaufen, wäre das Ganze nicht, oder?

[grizzly999 11]

@BuzzeR

 

das ist schon klar. Ich habe aber wegen dem Problem mal den Haken rausgenommen um es zu testen. Im Normalbetrieb ist die Seite dann auch NUR über HTTPS zu erreichen.

 

Das Ganze soll also heißen:

 

Wenn ich ein Zertifikat über meine Stelle zur Verfügung stelle und ein Client geht auf die Site, dann dauert das deshalb so lange weil der Client die Zertifikatstelle sucht aber nicht kennt. Nach ner Weile erfolgloser Suche gibt er dann auf mit der Messagebox, oder?

 

Würde ich mir ein Zertifikat kaufen, wäre das Ganze nicht, oder?

Jo, dem ist so. Neben dem Versuch, die Zertifikatskette zur RootCA zurückzuververfolgen versucht er ausserdem die CRL zu überprüfen. Das dauert, wenn beides nicht verfügbar ist. Die meiste zeit braucht aber dabei die Vverifizierungskette. Mit einem offiziellen Zertifikat, ist diese Wartezeit weg.

 

grizzly999

[format c: 10]

Super - vielen Dank. Das hilft mir auf alle Fälle weiter.

Ich habe mir das so ungefähr schon gedacht. Aber ein offizielles Zertifikat ist ja nicht ganz billig. Daher wollte ich meine Vermutung bestätigt haben. Dankeschön

[format c: 10]

Noch ne kleine Frage dazu :)

 

Ich habe jetzt mal ein Testzertifikat von VeriSign erstellt und es eingebaut. Klappt soweit ganz toll, nur kommt jetzt immer noch die Box: Das Sicherheitszertifikat wurde von einer Firma ausgestellt, die sie als nicht vertrauenswürdig eingestuft haben.

 

Liegt das daran, dass das Testzertifikat von VeriSign Trial Secure Server Test CA kommt? ALso ein richtiges, gekauftes Zertifikat kommt dann von VeriSign direkt und das Problem ist weg?

[mickey 10]

ja, in deinen stammzertfikaten steht auch keine test drinnen. aun diesen ordentiert er sich.

[humpi 11]

Hi all,

ich hätte noch ein paar Fragen zum Thema Zertifikate.

Das Zertifikat wurde selber erstellt und stammt von keiner öffentlichen Stelle.

1. Dauert der Aufbau einer SSL (https) deshalb so lange, weil er das Zertifikat validieren möchte?

- Warum braucht nur der IE so lange? (30sek.)

- Opera, Firefox zeigen das Zertifikat sofort an.

2. Ist bei dieser Abfrage egal, ob das Zertifikat gültig oder abgelaufen ist?

 

Vielleicht kann mir jemand diese Fragen beantworten.

 

Danke schonmal für die Hilfe.

[humpi 11]

Hi,

keiner Lust sich auszulassen bei diesem milden Wetter. ;-)