HTTPS-Feed in iTunes-Directory eintragen (Zertifikatsproblem)

Ich will schon lange unseren Eintrag im iTunes-Directory erneuern, weil sich unser Feed partout weigert, über den Suchbegriff „C3S“ gefunden zu werden.

Nun sind wir diese Woche auf neue Hardware, neue Subdomain und SSL-only umgezogen. Also dachte ich: jetzt oder nie. Aber iTunes mag auch das nicht:

Habt ihr schon Erfahrung mit https-Feeds? Das Zertifikat ist von StartSSL

Wir machen die alten Feeds pre 301-Redirect auch über http zugänglich. Zumindest in den Clients, die ich testen kann, funktionieren sie noch.

Florian

Wenn du nach “ssl validator online” googelst, findest du Test-Websites, die dir anzeigen, ob dein Zertifikat in Ordnung ist.

Validiert alles wunderbar: https://www.sslshopper.com/ssl-checker.html#hostname=podcast.c3s.cc

Ich habe es mal noch auf https://www.ssllabs.com/ssltest/analyze.html?d=podcast.c3s.cc getestet, die sind ausführlicher.

Auch dort alles OK.

Ggf. verweist der Feed intern auf weitere Ressourcen, die ein ungültiges/falsches SSL-Zertifikat haben?

Die einzigen anderen Ressourcen mit SSL im Feed kommen von flattr.com (https://www.ssllabs.com/ssltest/analyze.html?d=flattr.com). Aber auch ohne Flattr im Feed, mag iTunes das nicht.

Das sieht mir mittlerweile doch sehr nach nem Problem bei iTunes selbst aus. Das ist mal ganz schön blöd.

Oder er mag die nicht-SSL-Ressourcen innerhalb des SSL-Feeds nicht?!?

Der ssllabs.com Test zeigt für Java 7u25 folgenden Fehler an: “Client does not support DH parameters > 1024 bits”. Ich tippe mal drauf das das iTunes-Directory in Java ≤ 7 geschrieben ist…

Sprich dreh mal etwas an der Chipher Konfiguration deines Webservers, bis das Java 7 bei dem Test auch grün wird und schau ob das Formular dann immer noch meckert.

Irgendwelche News dazu? Ich hoste meinen Feed auf Uberspace und habe da gar keinen Einfluss auf die Cipher.

Nein, wir haben einiges versucht, nur um am Ende alles wieder auch über HTTP zugänglich zu machen.

Ich hoste meinen Feed auf Uberspace und habe da gar keinen Einfluss auf die Cipher.

Uberspace lässt dich auch deine eigenen SSL-Zertifikate installieren. Das ist kein Argument.

Zertifikate klar. Aber das bestimmt ja nicht welche Cipher der Server nimmt oder?

Dem iTunes-Support schreiben?

Oh, das riecht verzwackt. Ich glaube da musst du dem iTunes-Support wirklich mal eine Mail schreiben. Wir besprachen das auf dem #ppw15a und es sieht so aus, dass der iTunes-Store auf oller Java-Software basiert, die nur ältere SSL-Standards unterstützt, die aber aus Sicherheitsgründen (richtigerweise) bei den meisten abgeschaltet sind.

Wenn es dran liegt: An den Cifer Settings des Webservers so lange drehen bis auf https://www.ssllabs.com/ssltest/analyze.html?d=podcast.funkenstrahlen.de bei Java 6u45 wieder steht das es geht. Unter https://www.ssllabs.com/ssltest/viewClient.html?name=Java&version=6u45 steht sogar was der wohl alles kann. Wenn man dem glauben darf, würde es reichen wenn man TLS_DHE_RSA_WITH_AES_128_CBC_SHA wieder in der Cypher-Liste mit aufnimmt.
@funkenstrahlen Was für eine Software nutzt ihr den für den Webserver? Apache, Ngnix?

Ich bin bei Uberspace. Ich kann die Settings des Server nicht beeinflussen. Habe auch schon dort nachgefragt. Die werden das nicht wegen mir drehen.

Ich werde das Thema hier weiterführen: Nach HTTPS Umstellung Podcast nicht mehr bei iTunes. Neueinreichung unmöglich. Was tun?

Ich habe mit Henning Krause eine Podcastfolge aufgezeichnet. http://podcast.funkenstrahlen.de/2015/05/28/fs065-https-fuer-podcasts/

Ich habe die Problematik in der letzten Freak Show noch mal zusammengefasst:

Danke Tim. Damit ist dazu erstmal alles gesagt.

Gibt’s da mittlerweile was neues zu? Jetzt, da ich von letsencrypt für alle meine Sites und Server SSL-Zertifikate habe, würde ich gerne überall HTTPS enforcen. Schieße ich mir damit, was iTunes angeht immer noch in den Fuß?

Vermutlich ja. Leider.

Da iTunes weiterhin kein SNI kann, sehe ich da auch mit LetsEncrypt schwarz. Sorry.