Files |  Tutorials |  Articles |  Links |  Home |  Team |  Forum |  Wiki |  Impressum

Aktuelle Zeit: Di Mär 19, 2024 08:07

Foren-Übersicht » DGL » News
Unbeantwortete Themen | Aktive Themen



Ein neues Thema erstellen Auf das Thema antworten  [ 10 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 10:52 
Offline
DGL Member
Benutzeravatar

Registriert: Do Sep 02, 2004 19:42
Beiträge: 4158
Programmiersprache: FreePascal, C++
Hallo allerseits,

DelphiGL nimmt an der Closed Beta von Let’s Encrypt teil. Let’s Encrypt ist ein Zusammenschluss von Organisationen, um allen Web-Diensten freien und kostenlosen Zugang zu SSL-Zertifikaten, denen von Browsern auch vertraut wird, zu ermöglichen. Bisher gab es für kostenlose Zertifikate nur zwei Optionen: StartCom und CACert. StartCom erfordert die Eingabe von vielen persönlichen Daten, obwohl am Ende nur ein Domain-Validation-Zertifikat (das heißt, im Browser gibt es nur das grüne Schlösschen und nicht z.B. den Firmen- oder Vereinsnamen, wie das bei Extended Validation der Fall wäre) ausgestellt wird. Zusätzlich fordert StartCom eine Gebühr wenn Zertifikate widerrufen werden – was ein Problem ist, wenn sowas wie Heartbleed passiert. CACert ist grundsätzlich netter, weil es den Community-Ansatz (anstatt den Firmenansatz wie bei StartCom) verfolgt, hat es aber nie in die Liste der von Browsern vertrauten CAs geschafft.

Let’s Encrypt ist hier um das zu ändern. Dabei setzen sie auf 100% Automatisierung und kryptographische Verifikation, dass man die Domain bzw. den Webservice tatsächlich unter Kontrolle hat. Die geschlossene Beta hat vor einigen Wochen angefangen, und nachdem ich das für meine eigenen Domains mal angetestet habe, habe ich auch noch delphigl.com dazu getragen.

Zusätzlich zu Let’s Encrypt ist diese Aktion ermöglicht worden durch die Umstellung der DelphiGL-Dienste auf ein VPS, sodass wir volle Kontrolle über den Webserver haben.

Deshalb: Ab sofort gibt es DelphiGL (Forum, Wiki und Git) über HTTPS. Ich bitte euch das zu testen und eventuelle Probleme zu melden. Dazu müsst ihr im Moment noch selber https anstatt http in die Addresszeile schreiben – die automatische Weiterleitung auf HTTPS werde ich im Laufe der nächsten sieben Tage anschalten, wenn es keine Probleme gibt. Jegliche Probleme direkt an mich oder in diesen Thread posten.

https://delphigl.com
https://wiki.delphigl.com
https://git.delphigl.com

viele Grüße,
Horazont

_________________
If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung.
current projects: ManiacLab; aioxmpp
zombofant networkmy photostream
„Writing code is like writing poetry“ - source unknown


„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 12:02 
Offline
DGL Member
Benutzeravatar

Registriert: Mi Aug 14, 2013 21:17
Beiträge: 587
Programmiersprache: C++
Ich bekomme hier ein Zertifikat, das von "Let's Encrypt" signiert wurde. "Let's Encrypt" wiederum bezieht sein Vertrauen von der "DST Root CA X3". Das wundert mich ein wenig, weil ich bisher immer gelesen hatte, dass die Let's Encrypt-CA von IdenTrust signiert wird. Wenn ich die "DST Root CA X3" zur Liste der vertrauenswürdigen CAs aufnehme, funktioniert es. Ich muss dazu sagen, dass ich direkt nach der Installation von Firefox alle nicht benötigten CAs rausgeschmissen hatte. Daher kann ich zur out-of-the-box Experience nichts sagen.

Aber tolle Sache, dass DGL jetzt endlich https bietet!

_________________
So aktivierst du Syntaxhighlighting im Forum: [code=pascal ][/code], [code=cpp ][/code], [code=java ][/code] oder [code=glsl ][/code] (ohne die Leerzeichen)


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 12:12 
Offline
DGL Member
Benutzeravatar

Registriert: Do Sep 02, 2004 19:42
Beiträge: 4158
Programmiersprache: FreePascal, C++
So wie ich das auf deren Webseite lese, haben sie eine eigene CA; die Signatur von IdenTrust ist dafür da, dass auch Browser, die let’s encrypt nicht direkt in den Root aufnehmen, die Zertifikate akzeptieren können.

Wenn du IdenTrust und den Root von Let’s Encrypt rausgeschmissen hast, siehst du vermutlich den Root, den der Webserver dir als Hinweis anbietet, was der von Let’s Encrypt sein sollte. Verwirrend allerdings, dass der anscheinend DST und nicht ISRG heißt.

viele Grüße,
Horazont

_________________
If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung.
current projects: ManiacLab; aioxmpp
zombofant networkmy photostream
„Writing code is like writing poetry“ - source unknown


„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 12:15 
Offline
DGL Member
Benutzeravatar

Registriert: Do Sep 02, 2004 19:42
Beiträge: 4158
Programmiersprache: FreePascal, C++
Ah, turns out, DST ist IdenTrust:
https://letsencrypt.org/certificates/ hat geschrieben:
Specifically, IdenTrust has cross-signed our intermediate using their DST Root CA X3.


viele Grüße,
Horazont

_________________
If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung.
current projects: ManiacLab; aioxmpp
zombofant networkmy photostream
„Writing code is like writing poetry“ - source unknown


„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 12:36 
Offline
DGL Member
Benutzeravatar

Registriert: Mi Aug 14, 2013 21:17
Beiträge: 587
Programmiersprache: C++
Oh ja, vielen Dank für die Infos. Ich habe nun "Let’s Encrypt Authority X1" direkt als CA aufgenommen und "DST Root CA X3" wieder rausgeworfen. Eigentlich sollte Mozilla dafür sorgen, dass die Let's Encrypt CA selbst in zukünftigen Firefox-Versionen landet.

_________________
So aktivierst du Syntaxhighlighting im Forum: [code=pascal ][/code], [code=cpp ][/code], [code=java ][/code] oder [code=glsl ][/code] (ohne die Leerzeichen)


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 13:47 
Offline
DGL Member
Benutzeravatar

Registriert: Do Sep 02, 2004 19:42
Beiträge: 4158
Programmiersprache: FreePascal, C++
Wenn dann solltest du ISRG Root (findest du auch auf der letsencrypt-Webseite) aufnehmen, die Authority Xn sind nur intermediaries. Die können bei jedem Zertifikatsrefresh wechseln, das passiert bei uns automatisiert monatlich.

viele Grüße,
Horazont

_________________
If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung.
current projects: ManiacLab; aioxmpp
zombofant networkmy photostream
„Writing code is like writing poetry“ - source unknown


„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Mi Nov 18, 2015 15:11 
Offline
DGL Member
Benutzeravatar

Registriert: Di Mai 18, 2004 16:45
Beiträge: 2621
Wohnort: Berlin
Programmiersprache: Go, C/C++
Zur "Out of the box" Erfahrung mit FF, das funktioniert problemlos und "Let's Encrypt Authority X1" hat es signiert und die von "DST Root CA X3" laut Cert-Infos.
Wir hatten da schon eine Diskussion im Firmenchat und leider gibt es nur Browser support.
Okey unser Security Admin, der MiesePeter hat dann erklärt das ist egal ist, da schon auf Hardware Ebene das ganze System kaputt ist und man auch gerade den Root Zertifikaten nicht vertrauen kann.
Google hat ja vor kurzem eine gewissen Schlangenöl Verkäufer, der auch ein Root CA hat gewarnt, ihr Zertifizierungssystem offen zu legen und sicher zu machen, da die google.com jemand wild fremden gegeben haben, sonnst würde man alles daran setzen dass man den den Status weg nimmt.

Google, HP, MS, IdenTrust und ein paar andere sind ja wohl gemeinsam daran bestrebt das Zertifikatsproblem durch neue Standard Prozesse sicher zu machen.
Ich selber hab wenig Probleme mit Zertifikaten, weil ich die nahezu nie benötige und wenn, dann weiß ich wer dahinter steckt.
Da sehe ich mich aber doch eher als die Ausnahme.

_________________
"Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren"
Benjamin Franklin

Projekte: https://github.com/tak2004


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Di Dez 08, 2015 10:33 
Offline
DGL Member
Benutzeravatar

Registriert: Di Mai 18, 2004 16:45
Beiträge: 2621
Wohnort: Berlin
Programmiersprache: Go, C/C++
Hehe Fefe hat sich auch mal mit beschäftigt und neben den gleichen Problem, was unser Security Admin sieht, gibt er noch einen drauf und kritisiert den ausgelieferten Client.

edit: Wer Fefe nicht kennt, der ist als Sicherheitsberater für diverse IT Firmen und Staatliche Einrichtungen unterwegs.

_________________
"Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren"
Benjamin Franklin

Projekte: https://github.com/tak2004


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Di Dez 08, 2015 12:27 
Offline
DGL Member
Benutzeravatar

Registriert: Do Sep 02, 2004 19:42
Beiträge: 4158
Programmiersprache: FreePascal, C++
ja, nur leider hat fefe in einigen punkten unfug geredet.

den service, von dem er da redet und der angeblich mit laufen muss, den gibt es nicht. zumindest habe ich nicht gesehen, dass der client das versucht hätte. weiterhin wüsste ich auch nicht, dass der ACME-server versuchen würde, das renewal von außen anzustoßen. ich hab das einfach als monthly cronjob eingetragen und gut ist.

man kann den client problemlos als nobody (bzw halt als beliebigen unprivilegierten user) laufen lassen, wenn man ein verzeichnis provisioniert, welches vom httpd unter $domain/.well-known/acme-challenge/ ausgeliefert wird; und wenn man akzeptiert, dass die private keys dann von dem user lesbar sind. das ist eine der möglichen client-seitigen authentifizierungsmethoden, genannt webroot. bei einer anderen modifiziert der client die webserverkonfig (böse) und bei einer dritten läfut der client selber als webserver (auch böse imo, weil er dafür root braucht und man den eigentlichen webserver runter nehmen muss). aber mit webroot ist meiner meinung nach nichts falsch.

wenn man den client im certonly modus betreibt fasst der auch die webserver-config nicht an, und legt die zertifikate halt an einen well-known ort (/etc/letsencrypt/live/$domain/fullchain.pem). den konfiguriert man einfach selber im webserver und dann ist gut.

fefe hat meiner ansicht nach vorurteile gegen python und ist von daher gleich mit einer sehr negativen einstellung rangegangen, während ich mit einer sehr positiven einstellung rangegangen bin und gleich geschaut habe, wie man das, was ich gerne hätte (keine automatische modifikation meiner webserver-config, weil das in meinen augen nur schief gehen kann) umsetzen kann -- was auch mit den bordmitteln des tools geht, man muss halt nur in die dokumentation schauen. dass der client root braucht ist meiner meinung nach gerechtfertigt. der arbeitet mit private keys (lesend und schreibend), das sollte nur root tun können.

viele grüße,
horazont

(der gerade keine linke shift-taste hat, weshalb großschreibung nicht gut geht :))

_________________
If you find any deadlinks, please send me a notification – Wenn du tote Links findest, sende mir eine Benachrichtigung.
current projects: ManiacLab; aioxmpp
zombofant networkmy photostream
„Writing code is like writing poetry“ - source unknown


„Give a man a fish, and you feed him for a day. Teach a man to fish and you feed him for a lifetime. “ ~ A Chinese Proverb


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: [INTERN] HTTPS auf DelphiGL
BeitragVerfasst: Di Dez 08, 2015 15:34 
Offline
DGL Member
Benutzeravatar

Registriert: Di Mai 18, 2004 16:45
Beiträge: 2621
Wohnort: Berlin
Programmiersprache: Go, C/C++
Das er angepisst ist kann ich verstehen, er hat nen CA zertifiziertes Zertifikat und das kann er über ein webinterface runter laden und fertig.
Was er nun eigentlich kritisiert, ist der mehraufwand für ein Umstieg.
Python wäre auch nicht meine Wahl, genauso wenig wie ich Perl, java oder anderes auf cgi und co laufen lassen mag.
Er hätte eigentlich erwartet, dass man ne kleine statische Seite lädt, die mit dem Server kommuniziert und man das per cron oder selber triggered.
Wenn man kurz angebunden ist und es dann soviele Stolpersteine gibt, dann wird man glaube ich schon ein bisschen generft, vorallem, weil es ja ziemlich gehyped wird.
Ich denke seine Erwartungen waren einfach viel zu hoch und er tendiert auch dazu was zu probieren, bekommt es nicht hin und schreibt dann drüber und dann erklärt einer der Leser es per Mail.

Ich werde mich auch noch damit auseinander setzen müssen aber das hat noch Zeit und bis dahin wird das bestimmt sorglose Anleitungen geben, wie man das in einigen Minuten einrichtet, statt sich wie aktuell noch recht umfänglich belesen zu müssen, weil es an einigen Stellen noch klemmt.
Ich hab z.B. SELinux und SecMod aktive und da läuft prinzipiell die meisten Sachen nicht out of the box.
Dann muss man die einzelnen Probleme nach googeln und entsprechende Regeln hinzufügen oder in der Software Einstellungen vornehmen.

_________________
"Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren"
Benjamin Franklin

Projekte: https://github.com/tak2004


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 10 Beiträge ] 
Foren-Übersicht » DGL » News


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
  Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
[ Time : 0.031s | 15 Queries | GZIP : On ]