neues CAcert.org SSL-Zertifikat für debianforum.de
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
neues CAcert.org SSL-Zertifikat für debianforum.de
Da unser altes Zertifikat heute abgelaufen ist, habe ich ein neues installiert. Es hat die ff. Sicherheitsmerkmale:
gültig von: 31.03.12 06:14:20
gültig bis: 31.03.14 06:14:20
SHA1-Prüfsumme: 98 B0 03 18 D1 14 9B D9 EA AB E8 DC 23 5F C0 46 72 F1 11 04
SHA256-Püfsumme: 58 87 AD FE 81 1F C7 6C EB 37 F9 A9 51 A4 1E 3B EE BA A3 C1 AD 0C 6D C3 34 FD 87 BE AE 9A DB B2
Das Zertifikat ist ebenfalls auf dem Jabber-Server im Einsatz.
gültig von: 31.03.12 06:14:20
gültig bis: 31.03.14 06:14:20
SHA1-Prüfsumme: 98 B0 03 18 D1 14 9B D9 EA AB E8 DC 23 5F C0 46 72 F1 11 04
SHA256-Püfsumme: 58 87 AD FE 81 1F C7 6C EB 37 F9 A9 51 A4 1E 3B EE BA A3 C1 AD 0C 6D C3 34 FD 87 BE AE 9A DB B2
Das Zertifikat ist ebenfalls auf dem Jabber-Server im Einsatz.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- Six
- Beiträge: 8066
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Be seeing you!
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Hi,
irgendwie ist mir nicht klar, wie ich dieses Zertifikat in Opera installiere? Könntet Ihr da bitte einen Tip geben?!
Vielen DAnk und einen schönen Sonntag wünscht
Gernot
irgendwie ist mir nicht klar, wie ich dieses Zertifikat in Opera installiere? Könntet Ihr da bitte einen Tip geben?!
Vielen DAnk und einen schönen Sonntag wünscht
Gernot
Viele Grüße,...savalas
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
http://www.cacert.org/index.php?id=3
Dort gibts die beiden Zertifikate, klick sie einfach mal an (PEM/DER sind jeweils gleichwertig) - Firefox fragt nach, ob man das Zertifikat installieren will, Opera macht das sicher ähnlich.
Dort gibts die beiden Zertifikate, klick sie einfach mal an (PEM/DER sind jeweils gleichwertig) - Firefox fragt nach, ob man das Zertifikat installieren will, Opera macht das sicher ähnlich.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Man kann bei Opera einfach https://www.debianforum.de besuchen, es wird dann wegen des Zertifikats gefragt, man kann es annehmen oder ablehnen. Dort existiert auch eine Checkbox, womit man diese Wahl dauerhaft speichern kann.[1]TRex hat geschrieben:Dort gibts die beiden Zertifikate, klick sie einfach mal an (PEM/DER sind jeweils gleichwertig) - Firefox fragt nach, ob man das Zertifikat installieren will, Opera macht das sicher ähnlich.
[1] Habe gerade mal nachgesehen, es heißt bei Opera "Meine Wahl für dieses Zertifikat merken" und befindet sich im Reiter "Sicherheit".
Zuletzt geändert von owl102 am 01.04.2012 10:23:09, insgesamt 1-mal geändert.
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Das -einmalige- akzeptieren des CAcert.org Rootzertifikates hätte aber den Vorteil, das andere (als das debianforum.de-Zertifikat) Zertifikate von ausgestellt von CAcert.org ebenfalls ohne zutun als Vertrauenswürdig angesehen werden.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Guten Morgen und vielen Dank für die Antworten.
Ist das egal ob Class 1 PKI Schlüssel oder Class 3?
Ist das egal ob Class 1 PKI Schlüssel oder Class 3?
Viele Grüße,...savalas
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Moin an alle,
Habs hinbekommen. Wer lesen kann ist klar im Vorteil! Root Zertifikat war / ist das Schlüsselwort!
Habs hinbekommen. Wer lesen kann ist klar im Vorteil! Root Zertifikat war / ist das Schlüsselwort!
Viele Grüße,...savalas
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)
Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen
Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
Moderate (yellow 79%)
Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen
Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Was sollen uns die 79 % denn sagen? Was wird da bewertet?
Beim Erstellen / Signieren des Zertifikates hast du nicht viele Optionen....
Ich vertraue dem Zertifikat zu 100 %
Beim Erstellen / Signieren des Zertifikates hast du nicht viele Optionen....
Ich vertraue dem Zertifikat zu 100 %
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Das Firefox Add-On resp. sein Bewertungsschema wird hier erklärt:
https://calomel.org/firefox_ssl_validation.html
Beim nächsten Mal könnte man 4096 Bit benutzen:
openssl req -newkey rsa:4096 <etc>
Und CAcert selbst ist innerhalb Debian auch nicht unumstritten:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434
https://calomel.org/firefox_ssl_validation.html
Beim nächsten Mal könnte man 4096 Bit benutzen:
openssl req -newkey rsa:4096 <etc>
Und CAcert selbst ist innerhalb Debian auch nicht unumstritten:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Der Test auf SSLLabs fällt relativ bescheiden aus:
https://www.ssllabs.com/ssltest/analyze ... anforum.de
Zum Vergleich mal bettercrypto.org
https://www.ssllabs.com/ssltest/analyze ... crypto.org
https://www.ssllabs.com/ssltest/analyze ... anforum.de
Zum Vergleich mal bettercrypto.org
https://www.ssllabs.com/ssltest/analyze ... crypto.org
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Zuerstmal zum eigentlichen Thema (auch wenn das gelöst ist) : Man läd sich das zert nicht von irgend einer ungesicherten Webseite sondern holt es sich von der eigenen Fesplatte lieft unter
(Wird von dem ab installation mitgelieferten Paket ca-certificates mitgebracht.)
Zur sicherheit von CACert: Das sind ein paar wirklich unsichere Sachen die die Standardbrowser so mitbringen:
https://wiki.thc.org/ssl#head-96dca2aba ... 17812bdc4e
Der hauptvorwurf der CACert gemacht wird, ist dass sie nicht kommerziell operieren. (Sie verlangen typischerweise Ausweise statt Bankkonten. (Weil es ja so unmöglch ist anonym ein Konto auf den Bahamas zu haben.)) Das ist echt lächerlich.
Dass sie aus allen großen Browsern rausgeflogen sind hat im übrigen gar nichts damit zu tun, dass die sich alle dagegen entschieden haben, sindern dass die sich untereinander absprechen und sich auf den Standard Bankkonto geeinigt haben.
Code: Alles auswählen
/usr/share/ca-certificates/cacert.org/cacert.org.crt
Zur sicherheit von CACert: Das sind ein paar wirklich unsichere Sachen die die Standardbrowser so mitbringen:
https://wiki.thc.org/ssl#head-96dca2aba ... 17812bdc4e
Der hauptvorwurf der CACert gemacht wird, ist dass sie nicht kommerziell operieren. (Sie verlangen typischerweise Ausweise statt Bankkonten. (Weil es ja so unmöglch ist anonym ein Konto auf den Bahamas zu haben.)) Das ist echt lächerlich.
Dass sie aus allen großen Browsern rausgeflogen sind hat im übrigen gar nichts damit zu tun, dass die sich alle dagegen entschieden haben, sindern dass die sich untereinander absprechen und sich auf den Standard Bankkonto geeinigt haben.
rot: Moderator wanne spricht, default: User wanne spricht.
- feltel
- Webmaster
- Beiträge: 10448
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Bezüglich des Zertifikats steht ja sowieso bald eine Änderung an. Ich hab dieser Tage mal das Zertifikat meiner Seite aktualisert und wie es scheint, kann man bei CAcert jetzt auch SAN-Zertifikate ausstellen lassen. Damit fiele schonmal der Problempunkt
Mit der Problematik dass wir mit dem Stable-Apachen nicht überall PFS hinbekommen, müssen wir wohl oder übel leben. Backports wollte ich tunlichst vermeiden.
weg.Prefix handling Not valid for "www.debianforum.de" CONFUSING
Mit der Problematik dass wir mit dem Stable-Apachen nicht überall PFS hinbekommen, müssen wir wohl oder übel leben. Backports wollte ich tunlichst vermeiden.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Es geht hier Konkret um IE<=8. Wer den nutzt ist garantiert nicht an sicherheit interessiert.feltel hat geschrieben: nicht überall PFS hinbekommen
Und den BingBot. Da finde ich es sogar sinnvoll nicht DHE zu nutzen. Da Bing sowieso alles veröffentlicht ist man da allerhöchstens an integrität und nicht an Vertraulichkeit interessiert. Und da kann man sich das Mehr an Rechenaufwand sparen.
Finde das hier im prinzip sowieso nicht so wichtig mit PFS. Ist ja alles öffentlich einsehbar.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Meine PNs sind öffentlich einsehbar? Mein Passwort auch? Finde ich nun nicht soo lustig.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Ich weiß ja nicht was du für PNs hier im Forum verbreitest. Aber mal ganz ehrlich bei PFS geht es darum dass jemand den Internetverkehr über jahrzehte hinweg wegsepeichert und darauf hofft, dass irgen jemand mal die entsprechende symetrische Verschlüsslung knackt. (Nicht aber die assymetrische) Wenn der BND (Und der ist wohl der einzige mit den Kapazitäten für sowas.) in 20Jahren mein heutiges PW bekommt dann ist mir das ziemlich wurst. Auch meine PNs sind nicht wirklich privat sind in erster Linie sachen die halt im öffentlichen Bereich unerwüscht sind, weil das niemand interessiert.
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Eben,wanne hat geschrieben:Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Du solltest von Deinem Schutzbeduerfnis nicht auf jenes von anderen schließen.
Lt. Wikipedia ist der Overhead für PFS 15 % und die Einrichtung dauert keine 2 Minuten.
Ergo, überwas diskutieren wir überhaupt?
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Die eigentlichen Problem an PFS sind:
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Zuletzt hat mir ein User Zugangsdaten für eine Maschine geschickt. Darauf habe ich keinen Einfluss – dennoch bin ich der Meinung, dass sowas nicht öffentlich einsehbar sein sollte.Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
2. Wen interessiert schon alte, kaputte Software?
Unix is user-friendly; it's just picky about who its friends are.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Nein auch die bekommen saubere ungeknackte Crypto (RSA/3DES/SHA1).catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4,
Aber die Keys für den 3DES werden ganz normal über RSA und nicht über DiffieHellman ausgetauscht.
EDIT: Ob SHA1 für Geheimdienste ein unüberwindbares Problem ist, ist fraglich. Wieviel das denen ohne 3DES zu knacken dann aber wirklich bringt weiß ich nicht. TLS ist so hässlich kompliziert, dass ich da nicht wirklich durchsteige.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Halt ich habe nochmal nachgedacht. Ich habe in den ersten beiden posts müll erzählt.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.
Edit: Konnte feltel nicht schreiben.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.
Edit: Konnte feltel nicht schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
ja, das liegt am fehlenden FF 27. Calomel meldet dann "strong" mit 83%.dufty2 hat geschrieben:mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)
Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen
Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
Re: neues CAcert.org SSL-Zertifikat für debianforum.de
Alte kaputte Software läuft in grossen alten kaputten Firmen. damit sie ihr selbst geschriebenes Legacy Gerümpel darstellen können. Aber bei einigermassen Security Bewusstsein lassen sie alte IE's dann in virtuellen Umgebungen laufen und verwenden zum browsen im Internet eine aktuelle Version von IE oder Firefox. Dabei ist FF 27 gerade mal Beta mit TLS 1.2. Hmpf.catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
2. Wen interessiert schon alte, kaputte Software?