• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Let's Encrypt für BSDForen.de

Yamagi

Possessed With Psi Powers
Mitarbeiter
Themenstarter #1
Hallo,
ab sofort nutzt https://www.bsdforen.de Let's Encrypt zum Ausstellen der SSL-Zertifikate. Damit sollte die Verbindung von allen gängigen Browsern ohne weitere Nachfragen akzeptiert werden. Die Zertifikate werden alle 60 Tage erneuert.

Wichtig: Let's Encrypt auf BSDForen.de ist ausdrücklich erst einmal im Testbetrieb. Wir behalten uns vor eventuell auf eigene Zertifikate zurückzuwechseln!

--Yamagi
 
C

CrimsonKing

Guest
#2
Let's Encrypt kommt für ernst zu nehmende Webanwendungen nicht in Frage, so lange die Ablaufzeit so kurz ist.
 

TCM

Well-Known Member
#3
Hallo,
ab sofort nutzt https://www.bsdforen.de Let's Encrypt zum Ausstellen der SSL-Zertifikate.
https://www.ssllabs.com/ssltest/analyze.html?d=bsdforen.de&hideResults=on

Ist das Absicht, dass bsdforen.de und www.bsdforen.de getrennte Zertifikate benutzen? Kann man machen, aber hat das einen speziellen Grund?

Wenn der Client ohne SNI ankommt, dann sieht man noch euer self-signed cert.

Der Server sollte das intermediate cert mitschicken. Die cipher-Liste könnte man noch nach Stärke sortieren, GCM vor CBC und SHA256 vor SHA. OCSP stapling wäre nett, dann muss nicht jeder Client zum OCSP-Server rennen.

Let's Encrypt kommt für ernst zu nehmende Webanwendungen nicht in Frage, so lange die Ablaufzeit so kurz ist.
Deshalb soll man ja die Verlängerung automatisieren. Dann ist es eigtl. egal, wie kurz die Laufzeit ist, und eine kurze Laufzeit schränkt die Verwendung eines kompromittierten Zertifikats ein.
 
C

CrimsonKing

Guest
#4
Eine automatische Verlängerung braucht trotzdem jedes Mal Nacharbeit, damit der Server das neue Zertifikat auch nutzt, oder?
 

TCM

Well-Known Member
#5
Idealerweise soll das nicht so sein. Der offizielle Client regelt das mit Symlinks. Man muss den httpd nur einmal die Config neuladen lassen.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
Themenstarter #6
Ist das Absicht, dass bsdforen.de und www.bsdforen.de getrennte Zertifikate benutzen? Kann man machen, aber hat das einen speziellen Grund?
Bei etwas darüber nachdenken sind zwei Zertifikate tatsächlich blöd. Ich habe es auf nur ein Zertifikat umgestellt.

Wenn der Client ohne SNI ankommt, dann sieht man noch euer self-signed cert.
Untote Uralt-Browser ohne SNI. Was es auf dieser Welt doch für schreckliche Dinge gibt. Das war schon vor der Umstellung auf Let's Encrypt falsch, es wurde schlicht das Zertifikat des falschen VHost zurückgegeben. Ist nur niemanden aufgefallen oder es hat sich niemand beschwert. Es ist nun korrigiert.

Der Server sollte das intermediate cert mitschicken.
Stimmt. Tut er nun.

Die cipher-Liste könnte man noch nach Stärke sortieren, GCM vor CBC und SHA256 vor SHA.
Ich habe die Cipher List noch mal etwas enger gezogen. Damit ist Android 2.x über die Klippe gesprungen. Aber was soll's.

OCSP stapling wäre nett, dann muss nicht jeder Client zum OCSP-Server rennen.
Ist jetzt eingeschaltet.
 

-Nuke-

Well-Known Member
#7
Eine automatische Verlängerung braucht trotzdem jedes Mal Nacharbeit, damit der Server das neue Zertifikat auch nutzt, oder?
Dein Skript muss natürlich ein nginx -s reload oder vergleichbar drin haben, sonst geht es natürlich nicht. Einige andere Dienste müssen ggf. neu gestartet werden (ich glaube ejabberd z.B.), aber das passiert ja bei der normalen Sicherheitspflege ja auch. Und ist ja auch nicht so als wenn die Teile nur 3 Tage halten. Sie halten 3 Monate.

Aber "ernst zu nehmende Webanwendungen" können sich sicherlich auch kommerzielle SSL-Zertifikate leisten ;)
 

TCM

Well-Known Member
#8
Untote Uralt-Browser ohne SNI. Was es auf dieser Welt doch für schreckliche Dinge gibt. Das war schon vor der Umstellung auf Let's Encrypt falsch, es wurde schlicht das Zertifikat des falschen VHost zurückgegeben. Ist nur niemanden aufgefallen oder es hat sich niemand beschwert. Es ist nun korrigiert.
Ich guck einfach mit openssl s_client :)
 
C

CrimsonKing

Guest
#10
Was für Werbung?

Dein Skript muss natürlich ein nginx -s reload oder vergleichbar drin haben, sonst geht es natürlich nicht. Einige andere Dienste müssen ggf. neu gestartet werden (ich glaube ejabberd z.B.), aber das passiert ja bei der normalen Sicherheitspflege ja auch. Und ist ja auch nicht so als wenn die Teile nur 3 Tage halten. Sie halten 3 Monate.
Alle 3 Monate sein Zertifikat auszutauschen ist eher mitteloptimal. Ja, da hängt dann ein ganzer Rattenschwanz dran ...
 

foxit

Moderator
Mitarbeiter
#12
Danke fürs Unterstützen von bsdforen.de :belehren:

Alle 3 Monate sein Zertifikat auszutauschen ist eher mitteloptimal. Ja, da hängt dann ein ganzer Rattenschwanz dran ...
Wo ist das Problem? Daemon restart und fertig. Spielst du keine Sicherheitsupdates ein?

Dank Bytecamp ist nun auch das Banner unter https:// zu erreichen.
Super Danke jetzt passts :)
 
C

CrimsonKing

Guest
#13
Danke fürs Unterstützen von bsdforen.de :belehren:
Ich bin nicht bereit, die Sicherheit meines Systems zu gefährden, nur damit irgendwer die schier unfassbaren Kosten für seinen Webserver tragen kann, tut mir leid.

Ich vertraue den Bytecamp-Bannern genau so wie ich jedem anderen Werbebanner vertraue, der von einem mir unbekannten Dienstleister eingespielt wird: Keine fünf Meter weit.
(Zugegebenermaßen ist die Angabe in Metern etwas unpräzise.)

Wo ist das Problem? Daemon restart und fertig.
Und dann bloß keinen vergessen. :D
Auf meinem Server liegen drei unterschiedliche Zertifikate für drei unterschiedliche Daemons.

Seufz.
 

Th0min4tor

OS-Wechselwähler
#15
Vielleicht wurde es an anderer Stelle bereits diskutiert, aber ich konnte dazu auf die schnelle nichts finden:

Warum erzwingt ihr nicht https über eine entsprechende Umleitung (am besten mit HSTS) in der Server-Konfiguration?
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
Themenstarter #16
Wir hatten das schon mal diskutiert. Damals gab es eine große Fraktion, die sich strickt gegen zwingendes SSL ausgesprochen hat. Es gab viele Begründungen. Es begann mit der durchaus legitimen Tatsache, dass ein auf moderne Algorithmen eingeschränktes SSL mit älteren Browsern nicht ohne Weiteres funktioniert. Nutzer können aber am Arbeitsplatz darauf angewiesen sein, mit alten Browsern zuzugreifen. Es wurde auch argumentiert, dass einige Firmen SSL-Verbindungen komplett verbieten oder durch fischige SSL-Proxies leiten. Da wir letztendlich ein öffentliches Forum sind und der einzige vertrauliche Inhalt die Login-Daten sind, haben wir uns entschlossen erst einmal zweigleisig zu fahren. Wenn sich Let's Encrypt bewehrt, können wir in einigen Wochen aber gerne noch einmal eine neue Diskussion führen.
 

Th0min4tor

OS-Wechselwähler
#17
Okay, dass manche Firmen SSL-Verbindungen komplett verbieten, wusste ich nicht. Außerdem hätte ich intuitiv gesagt, dass so alte Browser nicht mehr in nennenswertem Umfang eingesetzt werden. Aber ich habe dazu überhaupt keine Erfahrungswerte und auch keine Zahlen. Deswegen nehme ich das Argument jetzt mal so hin. Wie du sagst, kommen wir sicher zu einem anderen Zeitpunkt nochmal auf diese Diskussion zurück - ist ja hier auch etwas Offtopic.
 

Kamikaze

Warrior of Sunlight
Mitarbeiter
#18
Okay, dass manche Firmen SSL-Verbindungen komplett verbieten, wusste ich nicht. Außerdem hätte ich intuitiv gesagt, dass so alte Browser nicht mehr in nennenswertem Umfang eingesetzt werden.
Es reicht ein einzig BSD-Admin der irgendwo beim Kunden hockt und dort durch einen verranzten Proxy aus den 90ern tunneln muss um etwas im Wiki nachzuschlagen.
 

sterum

Well-Known Member
#19
Gerade auf meinem BlackBerry getestet. https://www.bsdforen.de

Webseite blockiert

Diese Webseite wurde als Sicherheitsrisiko identifiziert und blockiert, um Ihre Privatsphäre zu schützen

* Das Zertifikat für die Identifizierung von www.bsdforen.de wurde nicht von einer vertrauenswürdigen Quelle geprüft.
* Zertifikatsfehler
Das Zertifikat für diese Webseite ist möglicherwise nicht gültig.

Weitere Infos

* der Besuch der Webseite über den BlackBerry-Browser ist nicht möglich, da das von der Webseite als Identitätsnachweis verwendete Zertifikat gesperrt wurde.
* der private SChlüssel der Webseite ist möglicherweise verloren gegangen oder wurde gestohlen.
* das Zertifikat wird auf der Webseite möglicherweise mit betrügerischen Absichten verwendet.
* eine Zertifizierungsstelle ist möglicherweise nicht mehr sicher.

Eine Zertifizierungsstelle ist ein vertrauenswürdiger Drittanbieter, der digitale Zertifikate ausstellt und signiert.
Eine Ausnahme hinzufügen ist nicht möglich. :mad:
 

sterum

Well-Known Member
#22
Details ansehen kann ich aber herunterladen kann ich es nicht. Jedenfalls nicht im Browser. Ich muß mir das noch mal genauer ansehen ob ich das an einer anderen Stelle machen kann.
 

sterum

Well-Known Member
#24
Ich hab jetzt in den Einstellungen eine Möglichkeit gefunden Zertifikate zu importieren.
Dort habe ich das Root- und die beiden intermediate Zertifikate importiert. Leider kann ich mich mit dem Browser noch immer nicht verbinden.
 

TCM

Well-Known Member
#25
Es gibt zwei mögliche cert chains:

1. DST Root CA X3 -> Let's Encrypt Authority X1 -> bsdforen.de
2. ISRG Root X1 -> Let's Encrypt Authority X1 -> bsdforen.de

Dir wird im Moment das DST Root CA X3 fehlen. bsdforen benutzt nicht das ISRG Root X1, weil das noch nicht offiziell ist. Es bringt also nichts, das zu installieren. Nur das Let's Encrypt Authority X1 zu installieren, bringt auch nichts, weil es an keinem Root hängt.

Du müsstest dir das DST Root CA X3 besorgen. Alle anderen Importe würde ich wieder rückgängigmachen.

Edit: https://www.identrust.com/certificates/trustid/install-nes36.html

Meine Kiste sagt:
Code:
$ cat DST_Root_CA_X3.pem
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Scheint zu passen.