Cert not valid auf openstreetmap.de opencycle layer

Amiga4000 · June 25, 2021, 11:06am

Hallo!

Meine Chromiums auf diversen Systemen zeigten seit längerem den OpenCycle Layer auf openstreetmap.de ned an.
Heute mal geschaut:
Es ist ein Zertifikat Fehler.
https://b.tile.opencyclemap.org/cycle/12/2228/1437.png liefert z.B. “Your Connection to this site is not secure”.

Das Zertifikat zeigt dann an:
Common Name (CN) api.thunderforest.com
Organization (O)
Organizational Unit (OU)

Und die website im Browser zeigt dann bei allen Tiles:
Failed to load resource: net::ERR_CERT_COMMON_NAME_INVALID

Hmm.
Umweg für mich: alle 3 Tileserver manuell erlauben.
Aber wer kümmert sich da um die certs von der opensyclemap.org ?

danke.
Amiga4000

maxbe · June 25, 2021, 4:08pm

Machen diese Chromiums eine automatische Ersetzung von http zu https?
Weil die Einbindung der Radkarte auf openstreetmap.de passiert immer mit http, auch wenn man https://www.openstreetmap.de/karte.html aufruft, (ich seh jedenfalls nichts anderes…). Da werden die Tiles von [abc].tile.opencyclemap.org geholt.
Da müsste also noch ein Browser dazwischenfunken, der einfach https probiert, wenn er Dinge in einer https-Seite abholen soll.

Für …tile.opencyclemap.org gibt es kein Zertifikat. Das ist aber auch nicht nötig, weil die opencyclemap selbst die Kacheln von [abc].tile.thunderforest.com holt, wofür das Zertifikat auch ausgestellt ist und gültig.

Ich seh das Problem eher bei openstreetmap.de. Dort müsste der Kachelserver von opencyclemap auf thunderforest umgestellt werden. Und vielleicht auch gleich auf Tiles mit https, falls die Seite mit https aufgerufen wurde…

Grüße
Max

the-asca · June 25, 2021, 5:45pm

Also mein Firefox sagt mir auch als Warnung:

Sprich es wird http://…opencyclemap.org/… geladen und so steht es auch im JS-Code von https://www.openstreetmap.de/map_src/ol//OpenStreetMap.js ab Zeile 80:

    var url = [
        "[http://a.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png](http://a.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png)",
        "[http://b.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png](http://b.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png)",
        "[http://c.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png](http://c.tile2.opencyclemap.org/transport/${z}/${x}/${y}.png)"
    ];

Technisch gesehen sind es zwei Fehler:

In der o.g. JS-Datei müsste die URL geändert werden auf “https://…” oder besser nur “//…” (dann wird automatisch das selbe Protokoll verwendet wie vom Webseitenaufruf selbst).
Das wäre Aufgabe von openstreetmap.de:
```
Wenn Du Fragen oder Anregungen zu diesen Webseiten hast, kannst Du den Webmaster
unter webmaster@openstreetmap.de erreichen.
```
Ja, a/b/c.tile2.opencyclemap.org hat ein SSL-Zertifikat hinterlegt, welches aber nicht für opencyclemap.org gültig ist.
Hier müsste opencyclemap.org halt ran. Hierzu finde ich nur unter: http://opencyclemap.org/donate/ :
```
Feel free to [url=http://www.gravitystorm.co.uk/andy/]contact me[/url] if you have any other questions.
...
OpenCycleMap is a project by [url=http://www.gravitystorm.co.uk/]Andy Allan[/url]
```

Beide sollten wohl man angeschrieben werden (kann ich gerade nicht).

Ja, offenbar sorgt Chromium von allein dafür, dass http-URLs umgebogen werden auf https (gibt ja auch Browser-Addons dafür). Letztlich spielt es aber keine Rolle. Genausowenig, wie dass die Kacheln von thunderforest.com erzeugt werden. Faktisch ausgeliefert werden sie aber (so wie sie bei openstreetmap.de eingebunden sind) halt via a/b/c.tile2.opencyclemap.org also muss auch hier das Zertifikat für stimmen. Oder man muss halt bei openstreetmap.de die Kacheln/URL auf thunderforest.com anpassen.

Gruß,
asca