- HTTP Public Key Pinning mit Let’s Encrypt Zertifikaten
·
httptls
· Es war mal wieder soweit. Drei Monate sind rum und mein Monitoring vermeldete: „You Certificate expires in 15 days“. Die Erneuerung war dank Let’s Encrypt kein Problem und innerhalb einer Minute durch. Den HTTP Header für HTTP Public Key Pinning anpassen war ein Kampf, da ich keine Dokumentation drüber hatte. Das hole ich jetzt nach.
Hashes erstellen Für den Header braucht man die Base64 encoded SHA-256 Hashes der Zertifikate. Im HTTP Header müssen mindestens zwei Pins angeben und mindestens ein Pin darf nicht einem Zertifikat in der Chain matchen.
- Let’s Encrypt: Auch mein Blog ist im Beta Programm
·
ssltls
· Eigentlich wollte ich gerade nach Hause fahren, da bekam ich die Mail von Let’s Encrypt. Vor zwei Monaten habe ich mich im Beta Programm mit dieser Domain gemeldet. Lange Zeit hörte ich nichts und dachte schon, dass ich auf den offiziellen Starttermin warten muss.
Nun ist es endlich soweit: blog.veloc1ty.de ist nun mit einem „richtigen“ Zertifikat ausgestattet und nicht nur von meiner CA.
Das aktuell ausgestellte Zertifikat ist erst mal 90 Tage gültig.
- Apache: Sichere SSL/TLS Settings
·
Apache2ssltls
· FREAK, BEAST, Heartbleed, POODLE und sonstige Angriffe auf Crypto und Server wurde vor etwas längerer Zeit bekannt und drehten dementsprechende Runden. Ich habe in der Zwischenzeit den Überblick über die ganzen Fixes dafür verloren. Heute habe ich mich hingesetzt und meinen Apache Server auf den aktuellen Stand gebracht.
Test-Tools Für die Validierung der Einstellungen gibt es ein paar Tools, die man benutzen kann.
„SSL-Server Test“ von ssllabs.com Dieses online Tool analysiert verschiedene Aspekte der Verbindung.
- Nagios/Icinga: Check gegen ablaufende Zertifikate
·
featuredicinga2monitoringtls
· Heute habe ich neue Zertifikate für meine Webdienste erstellt. Für diesen Blog hier ist das Zertifikat schon am 06.06.2015 abgelaufen – vor 17 Tagen!
Ich habe das zwar bemerkt hatte aber immer keine Zeit / Lust gehabt den Umstand zu beheben.
Wie gesagt – heute habe ich es vollzogen und dachte mir, dass man das Ablaufdatum bestimmt auch Überwachen kann. Seit ein paar Wochen habe ich Icinga 2 im Einsatz. Dafür wollte ich einen Service Check haben.