Apache: OCSP Stapling aktivieren

Ab Apache Version 2.4 (in Debian Jessie enthalten) wird OCSP Stapling unterstützt. OCSP steht für Online Certificate Status Protocol. Damit kann die Gültigkeit eines Zertifikates abgefragt werden. Das ganze sieht in der Praxis dann so aus, dass wenn ein Nutzer eine Webseite über HTTPS aufruft, der Webbrowser dann eine im Zertifikat enthaltene OCSP Responder Adresse abfragt um festzustellen, ob das Zertifikat noch gültig ist. Das ist natürlich für die Sicherheit gut, hat aber zwei Nachteile:

  • Die OCSP Responder Server werden beim Verbindungsaufbau zusätzlich abgefragt, das führt je nach Auslastung und Verfügbarkeit des Responders zu einer Verzögerung
  • Der OCSP Responder Server bekommt mit, welche Webseite von welcher IP-Adresse aufgerufen wird

Ob die OCSP Responder letzteres nun loggen oder nicht ist nicht immer eindeutig zu klären, deswegen gehe ich davon aus, dass das im Zweifel so ist.

Abhilfe bringt OCSP Stapling. Dabei fragt der Webserver selbst regelmäßig den OCSP Responder für seine Zertifikate ab und behält diese Information in einem Zwischenspeicher. Beim Verbindungsaufbau sendet er dann die OCSP Antwort gleich mit. Da es sich hierbei um eine komplett signierte Kommunikation handelt, vom OCSP Responder über den Webserver bis hin zum Browser und der Browser die Signatur überprüft ist die Antwort verifiziert und der Browser muss keine Verbindung mehr zum OCSP Responder aufnehmen.

In Apache ist das ganze recht einfach eingerichtet. Ich habe einfach unter /etc/apache2/conf.d/ eine Datei OCSP_Stapling.conf angelegt mit dem folgenden Inhalt:

SSLUseStapling on
SSLStaplingCache 'shmcb:/tmp/stapling-cache(102400)'
SSLStaplingReturnResponderErrors off

Dabei ist wichtig, dass der SSLStaplingCache außerhalb eines vhosts definiert wird. Prüfen kann man das ganze dann bei dem von mir gern genommenen SSL Server Test von Qualys. Da sieht das dann bei Erfolg so aus:

screenshot-www ssllabs com 2015-08-30 14-35-20

Weitere Informationen zu dem Thema:

KVM: convert raw disc images to qcow2

So langsam steht bei meinen Servern auch ein Update von Wheezy auf Jessie an und vorher möchte ich einen Snapshot der Festplatten machen um für einen hoffentlich nicht notwendigen revert gerüstet zu sein. Als ich die Maschinen eingerichtet habe, habe ich als Speicherformat für die images RAW gewählt. Damit sind keine Snapshots möglich. Eine Konvertierung zu qcow2 ist sehr einfach möglich:

qemu-img convert -p -f raw -O qcow2 -o preallocation=metadata disk.img disk.qcow2.img

via

Ungewollten Shutdown oder Neustart eines Linuxsystems verhindern

Heute war es nun endlich soweit. In meiner nicht mehr ganz so kurzen Laufbahn als #Sysadmin habe ich es geschafft ein (Kunden)System aus versehen herunterzufahren. Angemeldet, root geworden, halt eingegeben, Schrecksekunde, shutdown -c eingegeben, Connection lost…

Per Twitter wurde ich dann auf das Paket „molly-guard“ aufmerksam gemacht.

https://twitter.com/derjoern/statuses/626343427941236736

Die Beschreibung des Debian-Paketes sagt dazu:

Schützt Rechner vor unbeabsichtigtem Herunterfahren/Neustart
 
Dieses Paket installiert ein Shell-Skript, welches die Befehle 
shutdown/reboot/halt/poweroff überlagert. Das Skript ruft zunächst 
eine Reihe weiterer Skripte auf, die alle erfolgreich durchlaufen 
müssen, bevor molly-guard den realen Befehl aufruft.
 
Eines der Skripte sucht nach bestehenden SSH-Sitzungen. Wenn einer 
der vier Befehle interaktiv innerhalb einer SSH-Sitzung aufgerufen 
wird, fragt Sie das Shell-Skript nach dem Namen des Rechners, der 
heruntergefahren werden soll. Das sollte Sie angemessen vor 
unbeabsichtigtem Herunterfahren und neuem Starten schützen.
 
molly-guard lenkt die ursprünglichen Binärprogramme nach 
/lib/molly-guard/ um. Sie können molly-guard umgehen, indem Sie die 
Binärprogramme direkt aufrufen.

Für die Zukunft habe ich mir gemerkt: apt-get install molly-guard