Anwendungsentwickler Avatar

Lieber Besucher, der Betrieb dieses Blogs wurde am 25.11.2015 eingestellt.
Die Seite besitzt keine dynamischen Funktionen mehr und dient nur noch als Archiv.

Es wird keine Garantie für die Aktualität der hier stehenden Informationen übernommen!

Kategorien

HTTPS, easy-rsa, sha256, nginx

Seit einiger Zeit weist Google Chrome bei https auf veraltete SSL Einstellungen hin. Neuerdings tut Google Chrome das sogar, wenn es sich um ein Zertifikat mit sha1 Signatur handelt.

Da in Google Chrome selbst nicht wirklich gesagt wird, was nun genau falsch ist, experimentierte ich mit einer Website mit eigener CA.

Zur Erstellung der CA und der Zertifikate nutze ich die Script Sammlung easy-rsa von openvpn. Die Scripte funktionieren nicht nur bei OpenVPN wunderbar, sonderen auch bei Webserver Zertifikaten. :)

Die folgenden Zeilen beschreiben, wie man ein für Chrome sicheres Zertifikat mit easy-rsa erstellt und welche Einstellungen an nginx vorgenommen werden müssen, damit man einen A-grade bei ssllabs.com bekommt.

weiterlesen

Authentifizierung mit Client Zertifikaten

Für einen privaten nginx Webserver habe ich mich mal an Zertifikatsbasierter Authentifizierung versucht. Dies funktioniert wie bei VPN.

Man erstellt sich eine eigene Certificate Authority (CA), das klassische Server Zertifikat mit Key und ein Client Zertifikat mit Key. Anschließend wird die CA und das Client Zertifikat in den Browser importiert. Beim Aufruf der Seite wird der Benutzer mit dem Client Zertifikat validiert und angemeldet.

In dieser Anleitung setze ich der Einfachheit voraus, dass bereits Erfahrung beim Erstellen von Zertifikaten besteht und ich auf die einzelnen Befehle nicht weiter eingehen muss.

Das folgende Shellscript erzeugt alles nötige:

weiterlesen

SSL fürs Blog

Mein Blog kann seit einigen Tagen mit SSL umgehen. Hauptsächlich habe ich dieses angeschafft um sicher auf das Typo3 Backend und auf Piwik zugreifen zu können. Aber auch Besucher können dieses gerne nutzen. :)

Verwendet wird hier ein Wildcard Zertifikat von StartSSL. Sehr praktisch, da man bei StartSSL nach einer Validierung kostenfrei beliebig SSL Zertifikate erstellen kann, welche von allen modernen Browsern unterstützt werden. ;)

Einzig die Validierung, welche man alle 350 Tage durchführen muss, kostet 60$. Hierzu muss man Ausweise an StartSSL senden und man bekommt einen Anruf. Ein fader Beigeschmack ist dabei, dass man Ausweis und Führerschein an StartSSL senden muss.

In den Uberspace, in dem das Blog läuft, ist das Zertifikat via SNI eingebunden, welches bei Uberspace ebenfalls kostenlos ist. Alte Browser werden also bei SSL nicht mehr unterstützt, da denen der SNI Support fehlt.

weiterlesen

Umleiten bei bestimmten Ordner ohne SSL

Für einiges privates Zeug habe ich mir ein echtes SSL Zertifikat angeschafft. Da ein normales Zertifikat schon teuer genug ist, habe ich auf ein Wildcard Zertifikat verzichtet. Stattdessen wurden nun aus Subdomains einfach Unterordner.

Damit die alten Subdomains weiterhin funktionieren und diese auch gleich auf das neue SSL umgeleitet werden, sind noch einige Rewrite Rules nötig gewesen.

weiterlesen