pregos blog nun nur noch per HTTPS

Ich habe mich dazu entschlossen meinen Blog nur noch per HTTPS zur Verfuegung zu stellen. Um das ganze moeglichst nutzerfreundlich zu gestalten habe ich ein SSL-Zertifikat von RapidSSL gekauft, so das es auch in den Browsern keine Fehlermeldungen geben sollte.

Perfect Forward Secrecy ist eingerichtet, HSTS auch. Fuer WordPress habe ich mir noch das „WordPress HTTPS“ Plugin installiert, im SSL-Test von Qualys SSL-Labs gibts ein A-, wenn ich die RC4-Ciphers raus nehme wuerde auch ein A+ drin sein, aber damit sperre ich alle Internet Explorer Nutzer aus.

HowTo: Zertifikatsdatei .crt direkt mit Nagios ueberwachen

Bei einem OpenVPN Server besteht das Problem, das sein Zertifikat nicht aktiv von aussen ueberprueft werden kann. Um es dennoch mit Nagios zu ueberwachen muss die .crt Datei auf dem Server direkt ueberprueft und die Informationen zum Nagios Server gepusht werden.

Ich habe das mit dem Shellskript ssl-cert-check (mirror v. 3.27) von prefetch.net geloest.

Das Skript habe ich unter /usr/local/bin/ abgelegt:

cd /usr/local/bin
wget http://prefetch.net/code/ssl-cert-check

Dann gibt es ein Mini-Skript unter /root/skripte/nagios/check_openvpncert.sh, dass das ssl-cert-check Skript aufruft, und die Rueckgabe per NSCA an den Nagios Server pusht:

#!/bin/bash
send_nsca=/usr/sbin/send_nsca
send_nsca_cfg=/etc/send_nsca.cfg
nagioshost=nagios.example.org
host=$1
service=$2
plugin=/usr/local/bin/ssl-cert-check
output=$($plugin -n -x 30 -c /etc/ssl/certs/openvpn.example.org.crt)
rc=$?
echo -e "$hostt$servicet$rct$output" | $send_nsca -H $nagioshost -to 30 -c $send_nsca_cfg
exit 0

Das Mini-Skript selbst wird regelmaessig mit cron aus der /etc/cron.d/nagios-passive aufgerufen:

LANG=C
#
# Regular cron jobs for nagios passive checks
#
 
HOST=openvpn.example.org
 
*/20 *  * * *   root    /root/skripte/nagios/check_openvpncert.sh ${HOST} SSL-Cert_OpenVPN 1>> /dev/null 2>> /dev/null

Und nach der Einbindung als passive Check in Nagios wird auch das Ablaufdatum eines lokalen Zertifikats ueberprueft:

nagiosovpncert

HowTo: Export and Import GnuPG Keys

Exportieren:

  1. Vorhandene Keys auflisten um Schluessel ID herauszufinden:
    gpg --list-keys
  2. Public Key abspeichern:
    gpg -ao mynamefor-public.key --export KEY_ID
  3. Private Key abspeichern:
    gpg -ao mynamefor-private.key --export-secret-keys KEY_ID
  4. Wiederrufszertifikat erzeugen:
    gpg --gen-revoke KEY_ID

Importieren:

gpg --import _something_-public.key
gpg --import _something_-private.key

Neues SSL-Zertifikat und spdy Unterstuetzung

Ab heute hat mein Blog ein neues SSL-Zertifikat von CAcert.org. Wenn mich jemand „assuren“ wuerde, waere ich dem sehr dankbar.

Weiter ist mein Blog nun auch ueber spdy erreichbar. Ein deutlicher Geschwindigkeitszuwachs, um es mal einfach auszudruecken. Die Installation gestaltete sich sehr einfach: runterladen, installieren, Apache neu starten, fertig. Das Apache-Modul gibt es hier bei Google.

Um in den Genuss des schnelleren Seitenaufbaus zu kommen als Firefox-Nutzer unter about:config nach network.http.spdy.enabled suchen und auf true setzen.