SSL: eigene CA und anderes

[quote=“smurphy”]
signatur
Linux rules alone on my mac-mini…
Upgraded: T7200 +2GB Ram…
Check my Linux & Mac mini FAQ[/quote]

Secure Connection Failed

stargate.solsys.org uses an invalid security certificate.

The certificate is not trusted because it was issued by an invalid CA certificate.

(Error code: sec_error_ca_cert_invalid)


schade.

Du musst für FF eine Ausnahme einrichten (muss ja nicht dauerhaft sein) weil der FF auch nicht alle Root-Zertifikate kennt (wenn eines vorhanden ist).

[quote=“eTanguero”]

[quote=“smurphy”]
signatur[/quote]

Linux rules alone on my mac-mini…
Upgraded: T7200 +2GB Ram…
Check my Linux & Mac mini FAQ

Secure Connection Failed

stargate.solsys.org uses an invalid security certificate.

The certificate is not trusted because it was issued by an invalid CA certificate.

(Error code: sec_error_ca_cert_invalid)


schade.[/quote]

Wieso ? Ich gehe mit der Sicherheits meiner Site selbst um.
Siehe hier: For a website that talks about security you have an invalid security certificate
Aber du hast recht. ich werde mal die URL in meiner Sig umaendern. Leseinhalt braucht kein Zertifikat.

btw: interessant, deine site. auch der hinweis zu schoenen site macbidouille. :wink:

Korrekt. Fuer meine CA - kann man sich ein Zertifikat hier holen: Stargate CA Certificate
Ich habe leider keine 3000 Dollar um mir ein CA-Signiertes Client Zertifikat zu kaufen …
Darum muss ich es selbst machen :wink:

Naja - Franzoesisch ist eigentlich eher meine Muttersprache. Darum nehme ich auch Franzoesische Sites in mein listing auf :wink:

Btw.: cacert.org ist eine Alternative zum teuren Zertifikat (btw.: sonst ca. 100 EUR/Jahr).

Da muss man zwar auch das cacert.org-Root-Zertifikat installieren, aber es gibt mitterweile einige Seiten, die cacert nutzen.

Und /edit: Ein self-signed Zertifikat (auch von der eigenen CA) ist prinzipiell nicht so sicher wie ein kommerzielles Zertifikat. Ein Benutzer, der neu auf Deine Seite geht, kann die CA und das Zertifikat nicht kennen. Ist der Bösewicht™ jetzt zwischen Dir und dem Besucher, fängt er die Daten ab, signiert mit einem eigenen Zertifikat neu, und User kann das nicht unterscheiden! PK-Kryptografie kann stressig sein, wenn man sich alle denkbaren Angriffsszenarien immer ausmalt, um wirklich einigermaßen sicher™ zu sein. :wink: Aber das führt jetzt (zumindest in diesem Fred) deutlich zu weit! :w00t:

[quote=„smurphy“]

Naja - Franzoesisch ist eigentlich eher meine Muttersprache. Darum nehme ich auch Franzoesische Sites in mein listing auf :wink:[/quote]

pigé! :smiley:

[quote=“Joerg”]Btw.: cacert.org ist eine Alternative zum teuren Zertifikat (btw.: sonst ca. 100 EUR/Jahr).

Da muss man zwar auch das cacert.org-Root-Zertifikat installieren, aber es gibt mitterweile einige Seiten, die cacert nutzen.

Und /edit: Ein self-signed Zertifikat (auch von der eigenen CA) ist prinzipiell nicht so sicher wie ein kommerzielles Zertifikat. Ein Benutzer, der neu auf Deine Seite geht, kann die CA und das Zertifikat nicht kennen. Ist der Bösewicht™ jetzt zwischen Dir und dem Besucher, fängt er die Daten ab, signiert mit einem eigenen Zertifikat neu, und User kann das nicht unterscheiden! PK-Kryptografie kann stressig sein, wenn man sich alle denkbaren Angriffsszenarien immer ausmalt, um wirklich einigermaßen sicher™ zu sein. :wink: Aber das führt jetzt (zumindest in diesem Fred) deutlich zu weit! :w00t:[/quote]

Hehe …

Was mich allerdings in diesem Falle nicht wirklich Juckt - da diese CA eigentlich fuer eigene Zwecke gedacht ist. Alle Oeffentlichen Seiten sind mittlerweile ohne SSL zu erreichen, und nur wenn jemand etwas Konfigurations-Arbeit, news schreiben will etc. - wird alles was hochgeschickt wird verschluesselt. Natuerlich - muss das Client-Zertifikat dass dazu (zum editieren) benoetigt wird, von mir signiert und zugelassen sein.
Ausserdem ist die WebSite - eine Eigen-Entwicklung - mit blick auf Sicherheit erst geplant, dann strukturiert und schliesslich programmiert worden.

Dass es Man-in-the middle Angriffe gibt - dass ist mir klar. Allerdings bekommen alle Leute von mir das CA auch PGP-Signiert zugeschickt wenn Sie wollen. Sollte ich einen Oeffentlichen SChluessel des Empfaengers haben - auch pgp-Verschluesselt :wink: Ist halt eine Frage des Aufwandes den man betreiben will…

PS: Die Site hat auch ein paar eingebaute “schwulitaeten” um missbrauch zu verringern/einzudaemmen. D.h. Manipulationsversuche enden meistens darin dass ein Benutzer (IP || SessionID || Cookie) zuerst auf der Site-Blacklist landet - danach auf der Net-Blacklist :smile: Ist gemein - ich weis - aber es funzt sehr gut :wink:
Automatisierte Angriffe (Cross-Site-Scripting) werden automatisch and das SANS (Internet Storm Center) weitergemeldet etc. :smile:

[quote=„eTanguero“]

Naja - Franzoesisch ist eigentlich eher meine Muttersprache. Darum nehme ich auch Franzoesische Sites in mein listing auf :wink:
pigé! :smiley:[/quote]

Ouaips - je pige :wink:

[quote=“smurphy”]

[quote=“eTanguero”]
pigé! :smiley:[/quote]

Ouaips - je pige :wink:[/quote]

N’importe! :w00t: 8) :smiley:

So, ich habe den Diskussions-Teil mal abgeschnippt - hatte nicht mehr wirklich was mit den neuen Minis zu tun.

Ja, Angriffs-Versuche vom Server automatisch zu blocken, ist lustig. Habe da auch ein paar Sachen aktiv - unter anderem ein kompletter “Blackout” bei einem SSH-Verbindungsversuch auf dem Standard-Port… ^^

Hmmm :smile: lach Hatte ich auch anfangs gemacht. Allerdings 2-Gleisig. D.h. Habe nach Passwort-probing und anzahl Anfragen pro Zeiteinheit - und wenn ueberschritten dynamisch fuer 24 stunden gesperrt. Konnte auch mehr sein wenn in 1 Minute z.B. > 10 Versuche passierten.

Mittlerweile habe ich alles was nicht benoetigt wird (ausser http/https, SMTP und imaps) gesperrt.
SSH kann ich nur nachdem ich per Port-Knocking meinen Standard SSH-Port fuer 15Sek. aufgesperrt habe.
Das ist viel effizienter, als alle sicherheit die man ins SSH Protokoll einbauen kann. Leider :frowning:

Naja, >99,9% der “Angriffe” im Netz sind ja nur irgendwelche halb-automatischen Skripts (login: Bill. login: Bob. login: Bla usw. für 3 Stunden) oder “Hack-a-Server”-Applikationen für Kids - die fallen schon auf die Fresse, wenn der Port mal nicht auf dem Standard-Port liegt.

Die Anzahl von fehlerhaften Authentifizierungen sind dann Layer 2 - ein paar mal falsch geraten (egal, ob per SSH, SMTP-Auth oder HTTP) und plonk. Alles dicht zu machen, was man nicht braucht, ist eh oberstes Gebot, wenn man einen Rechner wirklich frei im Internet stehen hat. Und die regelmäßigen Updates. :smiley:

Full ACK …

deswegen kommt man nicht umhin eine gute Firewall (Naja - besserer Packet Filter) einzusetzen und den Pessimistischen Ansatz waehlen :smile:

Was mit Optimismus passiert - sehen wir ja in der Dosen Welt :smiley:

Jo, seitdem ssh bei mir auf nem anderen port laeuft ist es ruhig geworden. Vorher wars echt immer sehr lustig zu sehen was fuer usernamen die scripte so in petto hatten. :smile:
Viel hab ich auch ned offen von aussen, weil ssh fuer die screen session und imap reichen mir fuer meine zwecke voellig.