Nicht nur, wenn man gegen Verbrechen und Monster kämpfen möchte, ist es interessant zu erfahren, welche Cipher Suites ein Server unterstützt. Prinzipiell ist hierfür eine Testseite wie der SSL-Test von Qualys interessant, aber leider ist dieser etwas unflexibel, wenn es darum geht, beim Probieren verschiedener Setting behilflich zu sein. (more…)
Every security technology needs a certain deployment base in order to be effective. With many other security measures already at our disposal restricting the set of Certificate Authorities that may issue a X.509 certificate for a given domain is just another step. The standard for doing so, is RFC 6844 specifying the DNS Certificate Authority Authorization (CAA) Resource Record. Specifying a special DNS RR it allows any complying CA to check, if the owner of the domain (actually: The one in control of the DNS) wishes any given CA to issue certificates for this domain.
Given the CAA DNS RR is quite new, the question arose, if there are any deployments yet.
(more…)
Wenn man bereits sehr viel mit SSL auf seinem Server macht, kommt man früher oder später auch dazu, dass man Client-Zertifikat-Logins für seine Seiten haben möchte. Nun bietet Apache hier relativ einfach
SSLOptions +FakeBasicAuth
nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. Für nginx gestaltet sich dies leider etwas aufwändiger, aber im Endeffekt auch nicht viel. (more…)
Nachdem mein Server-Setup letztens nach dem Umzug auf neue Hardware ja etwas umgebaut wurde, hatte ich mit meinem Blog ein wenig zu Kämpfen, da das Blog aus Performance-Gründen nur interne IPs mit HTTP-Requests sieht (die externen IPs sind via Header auch sichtbar). Entsprechend war das Blog auch bei Abruf über SSL ständig der Meinung die Resourcen mit HTTP, also ohne Verschlüsslung abzurufen. (more…)
Manche Leute könnten es vielleicht mitbekommen haben, aber falls nicht, dann hier die kurze Info: In letzter Zeit war das Blog in Bezug auf SSL leicht kaputt, weil das Caching gesponnen hat. Das dürfte sich jetzt aber erledigt haben. (more…)
Irgendwie frustriert einen der aktuelle Zustand unserer Kryptographie-Softwarelandschaft. Einerseits möchte man es dem Nutzer so einfach wie möglich machen, andererseits aber einem Angreifer so schwierig wie möglich. Prinzipiell sind alle hier gängigen Bibliotheken, sei es OpenSSL, GnuTLS, NSS, NaCl und die diversen OpenPGP-Implementierungen zwar an sich einig, wie die verschiedenen kryptographischen Verfahren umzusetzen sind, aber in den Details stecken so einige Stolpersteine, die einfach nicht sein müssen. (more…)
Nachdem in letzter Zeit mehrere Probleme mit SSL und TLS bekannt geworden sind und ich mich bereits mehrfach an die Konfiguration eines Workarounds gesetzt habe, gelang gestern der Durchbruch, das BEAST zu bezwingen. (more…)
Nachdem man inzwischen niemandem mehr trauen kann, ist eine der häufigsten Fragen, wie man sich beim Surfen im Web absichern kann. Nun mag die Verwendung von SSL naheliegen, da aber auch den CAs nicht zu trauen ist – ganz abgesehen davon, dass das zu Grunde liegende zentralistische und hierarchische System kaputt ist – bleibt einem nicht viel Übrig, als jedem Website-Zertifikat einzeln zu vertrauen. Wie das geht, und welche Fallstricke es dabei gibt, möchte ich an dieser Stelle einmal zusammenfassen. Wer jedoch keine fundierten Kenntnisse über Kryptographie und die ganzen Zusammenhänge hat, sei ausdrücklich darauf hingewiesen, dass diese Anleitung eine Umgehung des in Firefox integrierten Trust Models darstellt und man daher nachfolgend vollständig auf sich selbst gestellt ist!
WARNUNG: Finger weg, wenn man sich nicht sicher ist!!! (more…)
Eigentlich wollte ich einzig mal das SSL-Deployment auf meinem Server etwas aufräumen und in diesem Zuge auch den Blog mal vernünftig auf SSL ziehen, aber aus der einfachen Aufgabe, 19 Zertifikate auf die passenden Subdomains zu heften wurde dann doch eine etwas umfangreicher Aufgabe. Nicht etwa wegen der Vielzahl an Subdomains (jede Subdomain musste für sowohl IPv4 als auch IPv6 konfiguriert werden), sondern wegen einem kleinen nervigen Bug in der kaputten Krypto. Ursache war dabei aber nicht etwa, dass er nicht verschlüsselt hätte, oder das falsche Zertifikat gezeigt hätte – nunja, damit rechnet man ja noch. Der Fehler war viel subtiler: Beim Aufruf von sub.domain.tld lieferte der Server das richtige Zertifikat, aber antwortete mit der Website für domain.tld. Also: Happy debugging! (more…)
Heute hatte ich wieder einmal eine recht spannende Diskussion. Anlass dieser war, dass Palemoon in Version 4 einen Bug im Updater hat, der dazu führt, dass auch vorhandene Updates nicht gefunden werden. An sich nicht weiter schlimm, könnte man meinen, denn das mit den Updatern haben schon ganz andere Leute nicht hinbekommen. Was mich an der Stelle aber etwas aufgeregt hat, war „die Lösung“ bzw. der vorgeschlagene Würgaround: „Schaltet einfach SSL ab“. Gute Nacht, Sicherheit! (more…)
Powered by WordPress