Jaja, Netcraft behauptet hier, dass 14% der Internet Zertifikate mit dem unsicheren md5 signiert wurden. Ende letzten Jahres hatten ja Forscher auf dem CCC die Schwachstelle vorgestellt und erklärt.
Natürlich sind alle meine selbst erstellten Zertifikate mit md5 signiert. Also bei mir persönlich 100%. Super! Ich glaube zwar nicht, dass jemand die Besucher meiner Server ausspähen will, aber mich nerven die Meldungen im Firefox. Schließlich habe ich mir ssl-blacklist installiert und das Tool motzt einfach bei unsicheren Seiten.
Zum Abstellen müssen nur die Zertifikate neu signiert werden. Also vorher die openssl.cnf entsprechend anpassen von vorher:
default_md = md5
auf nachher:
default_md = sha1
Anschließend können die Zertifikate wieder neu signiert werden. Bei meiner Kiste sieht das so aus:
openssl ca -extensions ssl_server -out /etc/ssl/CA/certs/it4sport.de.crt -config /etc/ssl/openssl.cnf -infiles /etc/ssl/CA/csr/it4sport.de.pem
Ist das erledigt, muss man die Zertifikate an die konfigurierten Stellen kopieren und die jeweilige Applikation neu starten.