Danke, das werde ich mal ausprobieren.

Leider hakt es noch an anderen Stellen. Ich bekomme auch oft die Meldung "EIdOSSLUnderlyingCryptoError", wenn ich auf einen Linke klicke, der auch auf meinem int. HTTP-Server zeigt. Dann springt er mich noch nicht mal mehr in die OnCommandGet-Routine. Erklären kann ich es mir zur Zeit noch nicht.
Leider finde ich auch nicht wirklich mal richtig schöne Demos bzw. Tutorials zu Indy-SSL-HTTP-Server.

Indy ist die aktuelle Version mit den neuesten OpenSSL DLLs? (z.B. von https://indy.fulgan.com/)? Sind andere (veraltete) OpenSSL DLLs im "Suchpfad"?

Schöne Demos und Tutorials müssten geschrieben werden

ja, alles vorhanden.

Ich denke ich habe den Fehler EIdHTTPProtokolException auch gefunden. Ich hatte teilweise noch in der zurück gelieferten Webseite noch Hard-Coded-Links "http://xxx.xxx.xxx.xxx/..." drin stehen. Hab das jetzt mal gegen relative Links getauscht, dann tritt der Fehler so jedenfalls nicht mehr auf.

Ich hab auch mal das ganze mit der Seite www.ssllabs.com getestet. Aus allem was das steht werde ich nicht schlau ist ja ne ganze Menge.
Und das das Zertifikat grundsätzlich ungültig wäre, hat er auch nicht gesagt. Allerdings meckert er den "common Name" als Mismatch an. Da habe ich einfach mal meinen Realnamen verwendet. Auch bei trusted steht "Not Trusted" was aber klar ist.

Ich hänge mal Bilder von dem Bericht an. Falls jemand draufschauen mag.

Wenn's mal richtig läuft, mach ich daraus vielleicht ein Tutorial (zumindest aber stell ich mal den Source hier irgend ein, damit sich andere daraus was abschauen können).

Ja, den Poodle (SSLv3 Support) sollte man abschalten Bei Indy ist dazu SSLOptions.Method:=sslvSSLv23; auszutauschen gegen etwas anderes (TLS1.2 ist der aktuellste Level).

Interessant Wär ich so nicht drauf gekommen. Danke.

Noch ein Tip (von http://stackoverflow.com/a/39499131/6517492):
Den Suchpfad für die OpenSSL DLL kann man in Indy genau angeben:
IdOpenSSLSetLibPath(ExtractFilePath(ParamStr(0))); Ich habe es selbst nicht getestet, eventuell könnte man so auch verhindern, dass andere DLLs als die gewünscht geladen werden.

Das ist auf jeden Fall auch nicht uninteressant

Hey

Stichwort letsencrypt.org: Die signieren kostenfrei und die CA ist in den großen Browsern deployed. Voraussetzungen: ein DNS Eintrag auf deine IP mit dem Namen der im Common Name deines Certs steht und ein Service, der auf den .well-known Pfad hört und eben generell das Erneuern der kurzlebigen (glaube 90 Tage) Zertifikate automatisch reagiert.

Da du dem Benutzer vermutlich die Certs ohnehin in ein Verzeichnis legen dürftest, kannst du es auch einfach dem Benutzer überlassen, wie er an ein signiertes Cert kommt. Deployed zum Browser muss immer die komplette Zertifikatskette werden.

Brighty