neues CAcert.org SSL-Zertifikat für debianforum.de

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10446
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von feltel » 31.03.2012 06:24:11

Da unser altes Zertifikat heute abgelaufen ist, habe ich ein neues installiert. Es hat die ff. Sicherheitsmerkmale:

gültig von: 31.03.12 06:14:20
gültig bis: 31.03.14 06:14:20
SHA1-Prüfsumme: 98 B0 03 18 D1 14 9B D9 EA AB E8 DC 23 5F C0 46 72 F1 11 04
SHA256-Püfsumme: 58 87 AD FE 81 1F C7 6C EB 37 F9 A9 51 A4 1E 3B EE BA A3 C1 AD 0C 6D C3 34 FD 87 BE AE 9A DB B2

Das Zertifikat ist ebenfalls auf dem Jabber-Server im Einsatz.

Benutzeravatar
Six
Beiträge: 8066
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von Six » 31.03.2012 23:20:08

:THX:
Be seeing you!

Benutzeravatar
savalas
Beiträge: 135
Registriert: 18.12.2011 21:42:36
Wohnort: trash:///

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von savalas » 31.03.2012 23:35:43

Hi,

irgendwie ist mir nicht klar, wie ich dieses Zertifikat in Opera installiere? Könntet Ihr da bitte einen Tip geben?!

Vielen DAnk und einen schönen Sonntag wünscht

Gernot
Viele Grüße,...savalas

I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)

Benutzeravatar
TRex
Moderator
Beiträge: 8316
Registriert: 23.11.2006 12:23:54
Wohnort: KA

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von TRex » 01.04.2012 01:06:30

http://www.cacert.org/index.php?id=3

Dort gibts die beiden Zertifikate, klick sie einfach mal an (PEM/DER sind jeweils gleichwertig) - Firefox fragt nach, ob man das Zertifikat installieren will, Opera macht das sicher ähnlich.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

owl102

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von owl102 » 01.04.2012 08:13:30

TRex hat geschrieben:Dort gibts die beiden Zertifikate, klick sie einfach mal an (PEM/DER sind jeweils gleichwertig) - Firefox fragt nach, ob man das Zertifikat installieren will, Opera macht das sicher ähnlich.
Man kann bei Opera einfach https://www.debianforum.de besuchen, es wird dann wegen des Zertifikats gefragt, man kann es annehmen oder ablehnen. Dort existiert auch eine Checkbox, womit man diese Wahl dauerhaft speichern kann.[1]

[1] Habe gerade mal nachgesehen, es heißt bei Opera "Meine Wahl für dieses Zertifikat merken" und befindet sich im Reiter "Sicherheit".
Zuletzt geändert von owl102 am 01.04.2012 10:23:09, insgesamt 1-mal geändert.

Benutzeravatar
feltel
Webmaster
Beiträge: 10446
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von feltel » 01.04.2012 10:06:17

Das -einmalige- akzeptieren des CAcert.org Rootzertifikates hätte aber den Vorteil, das andere (als das debianforum.de-Zertifikat) Zertifikate von ausgestellt von CAcert.org ebenfalls ohne zutun als Vertrauenswürdig angesehen werden.

Benutzeravatar
savalas
Beiträge: 135
Registriert: 18.12.2011 21:42:36
Wohnort: trash:///

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von savalas » 01.04.2012 10:16:47

Guten Morgen und vielen Dank für die Antworten.

Ist das egal ob Class 1 PKI Schlüssel oder Class 3?
Viele Grüße,...savalas

I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)

Benutzeravatar
savalas
Beiträge: 135
Registriert: 18.12.2011 21:42:36
Wohnort: trash:///

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von savalas » 03.04.2012 08:53:23

Moin an alle,

Habs hinbekommen. Wer lesen kann ist klar im Vorteil! Root Zertifikat war / ist das Schlüsselwort! ;)
Viele Grüße,...savalas

I spent a lot of money on booze, birds and fast cars. The rest I just squandered. (George Best 1946 - 2005)

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von dufty2 » 22.12.2013 17:13:28

mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)

Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen ;)

Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von blackm » 08.01.2014 21:11:19

Was sollen uns die 79 % denn sagen? Was wird da bewertet?

Beim Erstellen / Signieren des Zertifikates hast du nicht viele Optionen....

Ich vertraue dem Zertifikat zu 100 %
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von dufty2 » 12.01.2014 09:47:45

Das Firefox Add-On resp. sein Bewertungsschema wird hier erklärt:
https://calomel.org/firefox_ssl_validation.html

Beim nächsten Mal könnte man 4096 Bit benutzen:
openssl req -newkey rsa:4096 <etc>

Und CAcert selbst ist innerhalb Debian auch nicht unumstritten:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von dufty2 » 24.01.2014 05:07:12

Der Test auf SSLLabs fällt relativ bescheiden aus:
https://www.ssllabs.com/ssltest/analyze ... anforum.de

Zum Vergleich mal bettercrypto.org
https://www.ssllabs.com/ssltest/analyze ... crypto.org

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 24.01.2014 08:04:30

Zuerstmal zum eigentlichen Thema (auch wenn das gelöst ist) : Man läd sich das zert nicht von irgend einer ungesicherten Webseite sondern holt es sich von der eigenen Fesplatte lieft unter

Code: Alles auswählen

 /usr/share/ca-certificates/cacert.org/cacert.org.crt
(Wird von dem ab installation mitgelieferten Paket ca-certificates mitgebracht.)

Zur sicherheit von CACert: Das sind ein paar wirklich unsichere Sachen die die Standardbrowser so mitbringen:
https://wiki.thc.org/ssl#head-96dca2aba ... 17812bdc4e

Der hauptvorwurf der CACert gemacht wird, ist dass sie nicht kommerziell operieren. (Sie verlangen typischerweise Ausweise statt Bankkonten. (Weil es ja so unmöglch ist anonym ein Konto auf den Bahamas zu haben.)) Das ist echt lächerlich.
Dass sie aus allen großen Browsern rausgeflogen sind hat im übrigen gar nichts damit zu tun, dass die sich alle dagegen entschieden haben, sindern dass die sich untereinander absprechen und sich auf den Standard Bankkonto geeinigt haben.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
feltel
Webmaster
Beiträge: 10446
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von feltel » 24.01.2014 11:04:28

Bezüglich des Zertifikats steht ja sowieso bald eine Änderung an. Ich hab dieser Tage mal das Zertifikat meiner Seite aktualisert und wie es scheint, kann man bei CAcert jetzt auch SAN-Zertifikate ausstellen lassen. Damit fiele schonmal der Problempunkt
Prefix handling Not valid for "www.debianforum.de" CONFUSING
weg.

Mit der Problematik dass wir mit dem Stable-Apachen nicht überall PFS hinbekommen, müssen wir wohl oder übel leben. Backports wollte ich tunlichst vermeiden.

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 24.01.2014 13:59:13

feltel hat geschrieben: nicht überall PFS hinbekommen
Es geht hier Konkret um IE<=8. Wer den nutzt ist garantiert nicht an sicherheit interessiert.
Und den BingBot. Da finde ich es sogar sinnvoll nicht DHE zu nutzen. Da Bing sowieso alles veröffentlicht ist man da allerhöchstens an integrität und nicht an Vertraulichkeit interessiert. Und da kann man sich das Mehr an Rechenaufwand sparen.
Finde das hier im prinzip sowieso nicht so wichtig mit PFS. Ist ja alles öffentlich einsehbar.
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von DeletedUserReAsG » 24.01.2014 23:45:36

Meine PNs sind öffentlich einsehbar? Mein Passwort auch? Finde ich nun nicht soo lustig.

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 00:38:19

Ich weiß ja nicht was du für PNs hier im Forum verbreitest. Aber mal ganz ehrlich bei PFS geht es darum dass jemand den Internetverkehr über jahrzehte hinweg wegsepeichert und darauf hofft, dass irgen jemand mal die entsprechende symetrische Verschlüsslung knackt. (Nicht aber die assymetrische) Wenn der BND (Und der ist wohl der einzige mit den Kapazitäten für sowas.) in 20Jahren mein heutiges PW bekommt dann ist mir das ziemlich wurst. Auch meine PNs sind nicht wirklich privat sind in erster Linie sachen die halt im öffentlichen Bereich unerwüscht sind, weil das niemand interessiert.
Bei E-Mail oder Chat kann ich sowas verstehen aber hier im Forum... Das einzige private, dass es hier gibt sind die IP-Adressen und die bekommt man beim Ajhören ja sowieso frei haus. (bzw. bruacht sie um überhaupt abhören zu können.)
rot: Moderator wanne spricht, default: User wanne spricht.

dufty2
Beiträge: 1714
Registriert: 22.12.2013 16:41:16

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von dufty2 » 26.01.2014 03:27:48

wanne hat geschrieben:Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Eben,
Du solltest von Deinem Schutzbeduerfnis nicht auf jenes von anderen schließen.

Lt. Wikipedia ist der Overhead für PFS 15 % und die Einrichtung dauert keine 2 Minuten.
Ergo, überwas diskutieren wir überhaupt?

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 10:42:33

Die eigentlichen Problem an PFS sind:
a) Der zusätzliche Rechenaufwand. (Den können wir uns leisten.)
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.

Ansonstem muss ich eherlich sagen, dass ich die Gefahr auch einfach nicht so wirklich sehe.
Ich halte es für viel, viel warhscheinlicher, dass die asymetrische Crypto gebrochen wird, oder es andere aktive Angriffe auf TLS gibt als, dass irgend wann mal jemand billig RSA knackt.
Gerade wenn man bedenkt, dass es auf jeden Fall reicht ein paar von CACert zu bestechen, scheint mir die Variante mit RSA-Knacken einfach vergleichsweise klein.
rot: Moderator wanne spricht, default: User wanne spricht.

DeletedUserReAsG

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von DeletedUserReAsG » 26.01.2014 10:50:12

Ich weiß ja nicht was du für PNs hier im Forum verbreitest.
Zuletzt hat mir ein User Zugangsdaten für eine Maschine geschickt. Darauf habe ich keinen Einfluss – dennoch bin ich der Meinung, dass sowas nicht öffentlich einsehbar sein sollte.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von catdog2 » 26.01.2014 10:55:01

b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)
2. Wen interessiert schon alte, kaputte Software?
Unix is user-friendly; it's just picky about who its friends are.

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 11:56:42

catdog2 hat geschrieben:1. Die benutzen dann halt ihr kaputtes RC4,
Nein auch die bekommen saubere ungeknackte Crypto (RSA/3DES/SHA1).
Aber die Keys für den 3DES werden ganz normal über RSA und nicht über DiffieHellman ausgetauscht.

EDIT: Ob SHA1 für Geheimdienste ein unüberwindbares Problem ist, ist fraglich. Wieviel das denen ohne 3DES zu knacken dann aber wirklich bringt weiß ich nicht. TLS ist so hässlich kompliziert, dass ich da nicht wirklich durchsteige.
rot: Moderator wanne spricht, default: User wanne spricht.

wanne
Moderator
Beiträge: 7544
Registriert: 24.05.2010 12:39:42

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von wanne » 26.01.2014 12:14:25

Halt ich habe nochmal nachgedacht. Ich habe in den ersten beiden posts müll erzählt.
PFS bringt genau dann was, wenn jemand nachträglich den RSA Teil entschlüsseln kann. Da es eher aufgrund der starken Verwandschaft sehr unwahrschinlich ist, dass RSA gebrochen wird, DH aber nicht (Ich glaube da gibt's einfache reduktionen in beide Richtungen.) ist das Szenario wovor es schützt, dass feltel irgend wann in Zukunft sein Zertifikat verschlickert. (Oder dazu überredet wird sein Cert zu verschlickern.) Es aber bis jetzt noch nicht kompromitiert ist.

Edit: Konnte feltel nicht schreiben.
rot: Moderator wanne spricht, default: User wanne spricht.

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von 123456 » 26.01.2014 18:19:01

dufty2 hat geschrieben:mein Calomel SSL Validation meldet für https://debianforum.de
Moderate (yellow 79%)

Wenn demnächst das Zertifikat erneuert werden soll, vielleicht kann man es etwas pimpen ;)

Vielleicht liegts auch daran, dass ich noch kein Firefox resp. Iceweasel 27 (mit TLS 1.2) benutze.
ja, das liegt am fehlenden FF 27. Calomel meldet dann "strong" mit 83%. :)

123456
Beiträge: 6126
Registriert: 08.03.2003 14:07:24

Re: neues CAcert.org SSL-Zertifikat für debianforum.de

Beitrag von 123456 » 26.01.2014 18:26:30

catdog2 hat geschrieben:
b) Es ist nicht direkt im TLS Standard. => Es so hinzubekommen das es interoperabel mit alle Browsern tut ist eben schwer. Das Problem haben wir hier eben mit den alten IEs.
1. Die benutzen dann halt ihr kaputtes RC4, deren Problem (feltel hat es freundlicherweise an gelassen)
2. Wen interessiert schon alte, kaputte Software?
Alte kaputte Software läuft in grossen alten kaputten Firmen. :) damit sie ihr selbst geschriebenes Legacy Gerümpel darstellen können. Aber bei einigermassen Security Bewusstsein lassen sie alte IE's dann in virtuellen Umgebungen laufen und verwenden zum browsen im Internet eine aktuelle Version von IE oder Firefox. Dabei ist FF 27 gerade mal Beta mit TLS 1.2. Hmpf.

Antworten