Schlagwort: openssl

  • HTTP Public Key Pinning / HPKP -> Erklärung und Einrichtung

    Ein Problem „by-Design“ ist, dass jede CA für jeden Webserver Zertifikate ausstellen kann. Kaufe ich mir bei der CA foo für die Domain www.example.org ein Zertifikat, bin ich nicht davor geschützt, dass die CA bar kein Zertifikat für die gleiche Domain ausstellt. Alles schon vorgekommen… Da Webbrowser von Haus aus hunderten Zertifizierungsstellen vertrauen ist das […]

  • Kostenlose HTTPS-Zertifikate von WoSign / China

    Da Let’s encrypt noch nicht so weit ist, ich aber trotzdem immer mal wieder HTTPS Zertifikate haben möchte die von den bekannten Webbrowsern ohne Rückfrage akzeptiert werden hab ich mir schon mal das ein oder andere günstige gekauft. Den Großteil verwalte ich aber noch mit CAcert. Für die Zertifikate zu bezahlen war mir aber schon […]

  • SSL: Zertifikate auf sha2 Umstellen…

    Key und CSR neu erzeugen. Das -sha256 ist das entscheidende: openssl req -new -nodes -newkey rsa:2048 -sha256 -keyout sub.example.org.sha2.key -out sub.example.org.sha2.csr Wenn das Zertifikat im Apache eingebunden ist auch gleich prüfen ob SSLProtocol und SSLCipherSuite aktuell ist. Aktuelle Empfehlung von BetterCrypto.org lautet: SSLProtocol All -SSLv2 -SSLv3 SSLCipherSuite ‚EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384: EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128: +SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED: !ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA‘ Ob alles gut ist, […]

  • Poodle und SSLv3 deaktivieren in Apache, Postfix und Dovecot

    Nach Heartbleed und ShellShock nun also Poodle… In Apache ists die folgende Zeile: SSLProtocol ALL -SSLv2 -SSLv3 In Postfix in der main.cf die folgenden: smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3 smtp_tls_mandatory_protocols = !SSLv2 !SSLv3 smtp_tls_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2 !SSLv3 und in Dovecot in conf.d/10-ssl.conf: ssl_protocols = !SSLv2 !SSLv3 Danke an dieser Stelle an den […]