\n2017-11-04 12:35:14 us=870806 VERIFY ERROR: depth=0, error=format error in certificate’s notAfter field: C=de, L=Cologne, O=…
\n<\/span>2017-11-04 12:35:14 us=871222 OpenSSL: error:14007086:SSL routines:CONNECT_CR_CERT:certificate verify failed
\n<\/span>2017-11-04 12:35:14 us=871432 TLS_ERROR: BIO read tls_read_plaintext error
\n<\/span>2017-11-04 12:35:14 us=871638 TLS Error: TLS object -> incoming plaintext read error
\n<\/span>2017-11-04 12:35:14 us=871843 TLS Error: TLS handshake failed
\n<\/span><\/em>2017-11-04 12:35:14 us=872075 Fatal TLS error (check_tls_errors_co), restarting<\/em>
\n<\/span>Und Tunnelblick geht in eine Reconnect-Schleife.<\/p>\n
Beanstandet wird scheinbar das „G\u00fcltig-Bis-Datum“ im Zertifikat. Das sieht im Klartext der Config (kleines Zahnr\u00e4dchen am unteren Fensterrand von Tunnelblick zeigt sie an) aber eigentlich ganz valide aus: Da Tunnelblick das Datum nicht aus dem Klartext, sondern aus dem Zertifikatsblock selbst liest, kopiere ich dessen Inhalt zwischen Die kann man sich in der Mac OS Schl\u00fcsselbundverwaltung oder auch gleich im Terminal anzeigen lassen: Auf einer tieferen Ebene kommen diese Datumswerte raus: Zuerst dachte ich, das zweistellige Jahr am Anfang h\u00e4tte das falsche Format, aber das scheint zum Standard zu geh\u00f6ren: \u00c4hnlich wie bei zweistelligen Jahreszahlen zum Jahr-2000-Wechsel interpretiert man das Jahrhundert laut\u00a0RFC3280<\/a> Punkt 4.1.2.5 vor\/ab 2050 entsprechend dazu: „Where YY is less than 50, the year SHALL be interpreted as 20YY“ Das Absurde aber: Openssl gibt mir – anders als Tunnelblick – im Terminal auch keinen Fehler aus. Aber es f\u00e4llt auf, dass sich die von Mac OS verwendete SSL-Bibliothek von der mit Tunnelblick gelieferten unterscheidet.<\/p>\n
\nNot After : Sep\u00a0 <\/span>6 09:36:36 2036 GMT<\/span><\/em><\/p>\n
\n—–BEGIN CERTIFICATE—–
\n<\/span>…
\n<\/span>—–END CERTIFICATE—–
\n<\/span><\/em>in eine Textdatei ca.crt<\/span><\/p>\n
\nbjoern$\u00a0openssl x509 -in ca.crt -noout -dates
\n<\/span>notBefore=Apr 22 09:36:36 2009 GMT
\n<\/span>notAfter=Sep\u00a0 <\/span>6 09:36:36 2036 GMT<\/span><\/em><\/p>\n
\nbjoern$\u00a0openssl asn1parse -in ca.crt | grep \u201eTIME\u201c
\n<\/span>193:d=3\u00a0 <\/span>hl=2 l=\u00a0 <\/span>13 prim: UTCTIME \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 <\/span>:090422093636Z
\n<\/span>208:d=3\u00a0 <\/span>hl=2 l=\u00a0 <\/span>13 prim: UTCTIME \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 <\/span>:360906093636Z<\/span><\/em><\/p>\n
\n<\/span>Au\u00dferdem verwendet das Zertifikat von Box 1 – korrekterweise – auch so ein Datumsformat.<\/p>\n
\nbjoern$ openssl verify ca.crt<\/em>
\nca.crt: C = de, L = Cologne, O = \u2026
\n<\/span>error 18 at 0 depth lookup:self signed certificate
\n<\/span>OK
\n<\/span><\/strong><\/em>(Gut, beide Zertifikate sind selbst signiert. Halte ich in diesen Kontext bis auf die fehlende Revocation von selfsigned certificates f\u00fcr unbedenklich.)<\/p>\n
![\"\"](\"https:\/\/www.krombusch.de\/wp-content\/uploads\/2017\/11\/ssl-version.png\")
<\/a><\/p>\n