Seite nicht gefunden « BenBE's humble thoughts

01.04.2010

Client-Zertifikate leichtgemacht

Filed under: Server — Schlagwörter: Datenschutz, Firefox, Internet, Kryptographie, OpenSSL, Server, SSL, Verschlüsslung — BenBE @ 22:13:17

Wenn man sich im Internet umschaut, findet man zu Hauf Anleitungen, wie man SSL-Zertifikate für Server generieren kann. Leider gehen viele dieser Anleitungen als erstes auf die Variante mit Self-Signed-Zertifikaten ein, ohne auf die zahlreichen Nachteile dieser hinzuweisen. Auch fehlt in vielen Howtos leider die Beleuchtung der Zusammenhänge zwischen den verschiedenen Schritten und was jeder einzelne von ihnen bewirkt. Daher möchte ich mit dieser Anleitung einmal versuchen, ein wenig Licht in’s Dunkel der Zertifikate zubringen.

Eine sehr häufig genutzte, aber bei weitem nicht die einzige, Möglichkeit, um solche Zertifikate zu erstellen, ist OpenSSL. Dieses wird an zahlreichen Stellen eingesetzt und ist zudem auf vielen Plattformen verfügbar. Zudem genießt OpenSSL den Bonus, sich durch seine Unhandlichkeit auf faszinierende Weise von der Konkurrenz abzuheben, um nicht die gnadenlose Eignung als Geschenk für Sadisten zu betonen. Und genau daher werde ich es im Folgenden zur Erklärung des Sachverhaltes nutzen. (more…)

Comments (4)

17.05.2009

GnuTLS: Eine Alternative zu mod_ssl

Filed under: Server — Schlagwörter: Apache, GnuTLS, Konfiguration, SSL — BenBE @ 19:06:43

Ich habe ja die Tage über diverse kaputte Pakete bei Debian rumgemeckert und dabei auch mod_gnutls mit erwähnt, woraufhin es eine interessierte Zuschrift gab, in der mitgeteilt wurde, sich dieses Modul auch einmal angucken zu wollen. Um den Einstieg bei mod_gnutls nicht allzu schwer zu gestalten bin ich einmal nicht so und gebe hiermit einmal einen Schnelleinstieg, mit einer Reihe Informationen zur Konfiguration. (more…)

Comments (0)

13.05.2009

Apache2, GnuTLS und andere kaputte Software

Filed under: Server — Schlagwörter: Apache, Debian, GnuTLS, SSL — BenBE @ 19:37:53

Hatte ich schon mal erwähnt, was für ein Krampf es ist, mehrere SSL-Pages auf einer IP zu hosten? Glaube nicht. Wäre das also grad einmal der richtige Zeitpunkt dafür, das einfach mal nachzuholen. Zumal Debian in letzter Zeit wiedereinmal Spaß daran gefunden zu haben, Testing als Beta-Tester einzuspannen. Aber gut, alles zu seiner Zeit. (more…)

Comments (7)

30.01.2009

PHP als SSL-Client

Filed under: Server — Schlagwörter: Bug, cURL, OpenSSL, PHP, Sockets, SSL, TLS, Zertifikate — BenBE @ 22:20:17

Es ist ja nicht so, als ob PHP nichts kann, ganz im Gegenteil: PHP kann alles, nur nicht das, was man brauch – naja, oder zumindest nicht ausreichend einfach. Da wäre z.B. die Geschichte mit der sicheren Kommunikation über SSL/TLS. PHP selber muss, wenn es auf einem Server läuft, SSL nicht weiter beherrschen wie das Auslesen der Umgebungsvariablen, die vom Apache gesetzt werden. Möchte man nun aber von einem fremden Server via PHP ein paar Daten sicher abfragen oder übertragen bekommen, darf man eine Krücke nach der anderen benutzen. (more…)

Comments (1)

01.01.2009

Firefox und SSL

Filed under: Software — Schlagwörter: DNS, Firefox, MD5, PHP, Security, SSL, TCP — BenBE @ 21:42:27

Erstmal hoffe ich, dass alle meine LEser gut in’s neue Jahr 1984v2 gekommen sind und man sich nun nach den etwas stressigen letzten Tagen des alten Jahres gut erholt hat. Aber halt! Da war ja der 25C3 mit einer ganzen Reihe interessanter Vorträge zum Thema Sicherheit, u.a. in Bezug auf verschiedene Protokolle wie DNS und TCP, aber auch in Bezug auf eine ganze Reihe neuer Angriffe, die wie eigentlich in jedem Jahr, auf dem Kongress vorgestellt wurden, darunter Cold Boot Attacks gegen den Speicher frisch ausgeschalteter Computer, Angriffe gegen Web Services, aber auch Angriffe gegen verschlüsselte PHP-Anwendungen.

Nein, ich möchte jetzt nicht den gesamten Kongress im Detail wiedergeben – zu dem ich ohnehin aus verschiedenen Gründen leider nicht fahren konnte: ich möchtee eher ein anderes Problem hervorheben, wo der Kongress einmal mehr überaus deutlich gezeigt hat, dass ein Umdenken und eine alternative Lösung mehr als notwendig ist, da die vorhandenen Mittel auf lange Sicht nicht weiter vor einer Katastrophe schützen können, wie der Vortrag zu SSL und der Erstellung eines gültig-unterschriebenen CA-Zertifikates gezeigt haben. (more…)