Archiv

Artikel Tagged ‘ssl’

Udopi serviert nun mit nginx und spdy

2. Februar 2015 Keine Kommentare

Nginx-logoImmer oefter bin ich an Ecken und Kanten gestossen in denen mit der Lighttpd einfach nicht ausreichend war, eigentlich hatte es selten wirklich gestoert, aber dennoch wollte ich dem nginx eine Chance geben.
Das ist nun schon ein paar Monate her und irgendwie hatte ich ihn schnell wieder verworfen, wieso weiss ich heute nicht mehr, auf jeden Fall habe ich mich in den letzten Tagen etwas mehr mit nginx beschaeftigt nun nun laeuft die Maschinerie die Udopi serviert auf nginx.
Die Umstellung von php-fcgi auf fpm-php mit Sockets stellte sich als recht schmerzfrei heraus, jedoch fehlen mir ein wenig die eigenen php.ini Files.
Nachdem das Geruest nun lief sollte man der Meinung sein, das bisschen Software was hier laeuft wird auch keine Probleme machen, so hatte ich auch keine mit WordPress oder dem Mediawiki und auch der andere Kram der so in irgendwelchen Testecken verweilt laeuft problemlos, aber klar, irgendwas ist immer, diesmal heisst es mal wieder Gallery3.
Naja die „Entwickler“ schreiben ja schon: Only support for Apache… Mehr…

Last one: Neues SSL Cert, die wie sicher ist TOR Frage und der obligatorische Wunsch

30. Dezember 2014 Keine Kommentare

Wo soll ich anfangen, wie man merkt ist dieses Jahr wohl eher nicht mein Jahr gewesen und ich komme kaum zur Ruhe.
Bereits vor einigen Wochen habe ich von meinem werten Kollegen ‚death-row‘ eine Nachricht erhalten: Dein SSL Cert ist abgelaufen, 3 Anlaeufe habe ich nun gebraucht um den Prozess endlich abzuschliessen, das waere ja kein Problem, jedes mal war das Problem auf der Issuer Stelle, jedoch fuer 3 Versuche ca. 3 Wochen zu brauchen ist durchaus ein Problem, aber sei es drum… die Wintersonnwende ist rum, die laengste Nacht des Jahres vorbei und somit hoffe ich einfach auf etwas mehr Ruhe.

Eigentlich waere das folgende sicher einen eigenen Blogpost wert gewesen, aber aufgrund der zeitlichen Verzoegerung eher nicht mehr, daher erwaehne ich es kurz hier: G+: Finger weg von Tor schreibe ich als Headline fuer den folgenden Link: TOR Betreiber verlieren wichtigen Server – Spiegel.de. Mit diesen Worten wollte ich den Blogpost wie gesagt ausfallen lassen und auch gar keine grosse Diskussion starten, wie man aber sehen kann kam es dennoch dazu und daher auch noch einmal kurz hier: Mehr…

CVE-2014-0160 und Debian mit Parallels Plesk Fail! *Update*

11. April 2014 2 Kommentare

heartbleedNach wie vor in aller Munde eine kurze Meldung zum Thema Heartbleed, Debian und Plesk.
Mit dem neuen Debian libssl Paket kommt laut Changelog auch die Nachricht, dass betroffene Dienste neu gestartet werden sollten, so das Changelog von Debian:

* Enable checking for services that may need to be restarted
* Update list of services to possibly restart

So kommt nach der Installation eine schoene Box in der ein paar Dienste aufgelistet werden und ein voreiliger Admin wiegt sich danach in Sicherheit, jedoch vorsicht ist angesagt, denn es werden nicht alle Dienste neu gestartet, Paradebeispiel hierfuer ist Debian mit Plesk und Nginx Combo.
Seit Plesk 11.x kommt Nginx als Caching Proxy fuer statische Inhalte mit auf die Server (zumindest in der Standardconfig). Debian startet aber Nginx nicht neu nach dem Update und von daher bleibt die Luecke bestehen, daher unbedingt nach dem Einspielen des Updates pruefen ob auch wirklich alle Dienste sicher sind, die Windowsmethode neustart ist hier durchaus angebracht.

Wieso ich hier ausdruecklich Plesk schreibe? Weil ich weiss das Plesk sich eigenen Paketen bedient und auch die Verwaltung des Startens von Nginx uebernimmt, ich weiss nicht ob sich der Fehler auf Debian Systemen ohne Plesk ebenfalls reproduzieren laesst.

UPDATE: thekingofroots hat das Szenario ohne Plesk durchgespielt und teilt mit, dass Debian Nginx neu startet nach dem libssl Update, danke dafuer.
Es scheint also der direkte Zusammenhang gegeben zu sein zwischen Plesk installiert Nginx und Debian startet diesen nicht neu nach libssl Updates.

CVE-2014-0160 aka Eure geleakten SSL Private Keys *Update*

8. April 2014 4 Kommentare

heartbleedSie ist in aller Munde, die aktuelle Sicherheitsluecke in SSL via TLS Heartbeat durch welche es moeglich ist an die Private Keys von SSL Zertifikaten zu gelangen und somit komplett das System aushebeln koennen.
(Anmerkung: Neben den Private Keys laesst sich theoretisch der komplette Inhalt des Ramsspeichers auslesen, denn es handelt sich bei dem Problem um einen Memleak oder auch Information Disclosure)

Bei der Luecke handelt es sich um einen Fehler der OpenSSL Implementationen der Versionen:

OpenSSL 1.0.1 bis 1.0.1f (inklusive) sind Verwundbar, dies gilt jedoch nur wenn TLS Heartbeat aktiviert ist, bei Debiansystemen ist dies Beispielsweise Standard, mein Server spricht kein TLS Heartbeat und war zu keiner Zeit gefaehrdet.
OpenSSL 1.0.1g, OpenSSL 1.0.0, OpenSSL 0.9.8 hingegen jedoch nicht, dank Jared Stafford gibt es ein passendes Python Script um eigene Server zu ueberpruefen, ob die Sicherheitsluecke bei der eigenen Maschine greift.
Fuer den Fall das die Maschine verwundbar ist, oder war, ist es nicht ausreichend einfach OpenSSL zu updaten und sich sicher zu fuehlen, es muss davon ausgegangen werden, dass die Keys bereits geleaked sind, die Luecke besteht bereits seit ueber 3 Jahren, daher kann ich an dieser Stelle nur dringend empfehlen die SSL Zertifikate auf den betreffenden Servern zu revoken und neue zu erstellen, inkl NEUEM Private Key! Mehr…

Plus Button und SSL Probleme *update*

31. Oktober 2012 Keine Kommentare

Aktuell ereilen das Blog 2 Probleme.
Zum einen funktioniert der Google Plus Button auf der Page nicht richtig, eine Loesung ist noch keine bekannt, aber ich arbeite bereits mit dem Support in Verbindung um das Problem zu beheben.

Weiterhin scheinen einige Browser das Cert von GHCIF.DE als nicht gueltig anzusehen, dies ist ein Fehler der jeweiligen Browser, das Zertifikat ist nicht abeglaufen und weist auch sonst keine Fehler auf, evtl einmal mehr StartSSL Probleme.
Chromium und Firefox erkennen das Cert, Mobile Chrome hingegen meldet es als Fehlerhaft.
Daher wurde die automatische Weiterleitung auf HTTPS vorerst herausgenommen. Mehr…

SSL Cert abgelaufen -update-

2. Dezember 2011 1 Kommentar

Moin,

das SSL Cert fuer ghcif.de ist abgelaufen, keine Sorge das ist bekannt und wird im Laufe des Wochenendes wohl behoben werden. Fuer die Zeit ist die SSL Weiterleitung deaktiviert.

Update: SSL Cert wieder auf einem aktuellen Stand, alles wieder beim Alten.

Regards
t4c

Kategorienghcif Tags: , ,

Lighttpd, SSL, IPv6 Lags behoben

28. November 2011 1 Kommentar

Es wurde ja auch mal Zeit das ich mich dem Problem annehme.
Seit der Einfuehrung von IPv6 kam es immer wieder zu Verbindungsproblemen auf das Blog nur hatte ich wenig Zeit und Lust das Problem zu beheben vor allem da mir der Ansatz fehlte.
Es ist so, dass ghcif.de automagisch auf die SSL Verbindung umleitet und hier hatte ich das Problem wohl verkannt. Konnektiert ein User via v6 wird versucht auf die V6 umzuleiten, hier jedoch kein connect, da auf IPv6:443 nichts hoert. Nach einem timeout dann das Umleiten auf v4, welches einem User der beides nutzt moeglich ist, reine v6 Kisten bekamen dann einen kompletten Timeout.
Da ich nicht nur eine SSL Seite betreibe und auch diverse VHosts stand ich vor Mehr…

OpenSSL CSR, Keyfile und Zertifikat testen

21. Oktober 2011 1 Kommentar

Anbei ein kleines Script ohne nennenswerte Features fuer das Testen von CSR, KEY und CRT File:

#!/bin/bash
# ssltest.sh - v. 0.1 in coop with T. Tischner (treat-it.de)
#
# usage: ssltest.sh $keyfile $csr $crt

# get md5 sums
KEY=`openssl rsa -noout -modulus -in $1 | openssl md5` Mehr...

ghcif.de SSL die Zweite

1. Dezember 2009 Keine Kommentare

Wieder kurz und knapp.
Wie Euch vielleicht aufgefallen ist, meldeten aktuelle Browser, dass einige Teile des Blogs nicht via SSL verschluesselt wurden, ansich nicht so schlimm, aber auf Dauer doch stoerend und ein Beigeschmack von „unprofessionell“ bleibt haften.
Der Grund hierfuer waren die Banner von Blogeintragdiensten, diese sind leider nicht via SSL verfuegbar und wurden daher nun lokal gespeichert, auch wenn dies nicht unebdingt das Mittel der Wahl sein sollte, aber da ich keinen Einfluss auf die Gestaltung und Co der Seiten habe eben dieser Workaround.

Kategorienghcif Tags: , , , ,

ghcif.de nun via SSL

27. November 2009 Keine Kommentare

Kurz und knapp, ghcif.de ist nun via https (SSL) erreichbar, es wird ein Zertifikat von startSSL.com verwendet, diese sind in den meisten Browsern verfuegbar und fuer Level One Certs kostenfrei, ich denke besser geht es nicht wenn man privat SSL einsetzen moechte.
CA Certs sind ja leider kaum in den Browsern ab Werk enthalten und das importieren der Certs ist finde ich eher laestig.

Kategorienghcif Tags: , , ,