SSL-Zertifikate for free

Inhalte, Aktuelles, Relevantes, lokale Gruppen und Stadtgebiete, Entwicklungen, Ankündigungen, Erfahrungen, Diskussionen, Teilhabe, Freifunk Halle Blog, Freifunk Blog
Antworten
PapaBaer
Beiträge: 256
Registriert: 14.04.2008 00:19

SSL-Zertifikate for free

Beitrag von PapaBaer »

http://www.heise.de/security/artikel/SS ... 80221.html

Hab das gerade mal ausgetestet, im Firefox funktionierts. Es gibt keine Zertifikat-Fehlermeldung mehr. Konqueror beschwert sich, dass er die Zertifizierungsstelle nicht kennt.

Keine Ahnung, was von dem Anbieter zu halten ist. Das einzige, was gecheckt wird ist, ob die eMail-Adresse webmaster, hostmaster oder postmaster ankommt. Aber hey, das Zertifikat funktioniert. Hölen wir die Sicherheit des Webs weiter aus ;-)

Ach ja, die Ansage im Heise-Artikel, dass man den Private-Key natürlich selbst zu generieren hat und auf den "Service" verzichtet, sich das komplette Schlüsselpaar generieren zu lassen, muss mit allem Nachdruck unterstrichen werden.
Benutzeravatar
tox
Beiträge: 1417
Registriert: 11.08.2007 16:33
Wohnort: Halle
Kontaktdaten:

Re: SSL-Zertifikate for free

Beitrag von tox »

Jetzt haben wir die Wahl zwischen einem Zertifikat, das den Nutzer drauf hinweist, dass es nicht gegengeprüft werden kann, und einem Zertifikat, das den Nutzer nicht darauf hinweist, dass es zu leichtfertig ausgestellt wurde und die Gegenprüfung möglicherweise zu oberflächlich ist. Mh... schwierige Entscheidung...
みんなはばかだ。
Mein öffentlicher Schlüssel (OpenPGP)
Mein öffentlicher Schlüssel (SSH2, kommerzielles Format)
Verwalter von 7.42, 7.43, 7.44, 9.42, 10.42, 10.43, 15.42 und 28.1.
Anschluss: T-Com Call & Surf Comfort Plus inkl. HotSpot-Flat 16/1 Mbit
Modem, Router, TK-Anlage: Speedport W 700V
FF-Router: Buffalo WHR-HP-G54, FFF-Leipzig 1.6.10-core-1-halle-3, Doppel-Biquad-Antenne
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: SSL-Zertifikate for free

Beitrag von 3dfxatwork »

schade dass die mein zertifizierungstellenzertifikat nicht signieren können
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
PapaBaer
Beiträge: 256
Registriert: 14.04.2008 00:19

Re: SSL-Zertifikate for free

Beitrag von PapaBaer »

So schwierig finde ich die Entscheidung nicht. Wir haben die Wahl zwischen einem Zertifikat, was zwar verschlüsselt aber, da self-signed und von JEDEM! nachzumachen, keine Sicherheit gibt auf dem richtigen Host oder sonstwo zu sein oder einem Zertifikat, welches zumindest testete, ob der Mailserver zum richtigen Ausgang führte und daher ein kleines bisschen garantiert, dass man auf dem richtigen Host ist (übrigens gängige Praxis in dem Gewerbe). Das Zertifikat wäre also sicherer als unser derzeitiges und in etwa so sicher, wie alle durchschnittlichen SSL-Zertifikate da draußen.

Zum anderen würde die unsägliche Praxis aufhören, unseren Usern anzutrainieren wichtige Warnmeldungen wegzuklicken.
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: SSL-Zertifikate for free

Beitrag von 3dfxatwork »

das geht nicht, mailserver kann unser server leider nicht spielen wird von einer nicht in unserer macht stehenden Firewall alles blockiert
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
4huf
Beiträge: 677
Registriert: 19.04.2007 14:56
Wohnort: Zscherben

Re: SSL-Zertifikate for free

Beitrag von 4huf »

hmm , wenn unser Server keine Mails empfangen kann macht aber wohl auch der
MX-Eintrag wenig Sinn , oder wie werden einkommende Mails zugestellt ?
Ich wundere mich gerade das die ausgehenden Mails überhaupt funktioniert,
denn sonst machen die Uni-Mailserver als Spamschutz eine Prüfung auf
gültige Absender.
Das geht ja aber bei uns dann garnicht.
Warscheinlich vertraut der Uni-Mailserver uns weil wie eine Uni-IP haben.

Mit Zugriff auf den MX-DNS-Eintrag ließe sich aber was machen ...
. eine Antenne ist der beste HF-Verstärker
.funktionierende Antennen : Short-Backfire, AMOS-5, AMOS-3, Doppelquad, 4fach-Quad
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: SSL-Zertifikate for free

Beitrag von 3dfxatwork »

Ja das haben wir auch schon mal diskutiert, damals war im gespräch:

Wir ändern den MX Eintrag auf einen anderen Server und lassen den alle mails weiterleiten, dabei entstehen 2 Probleme:
  1. Der andere Server müsste Zwecks Spamfilterung schon die Benutzer kennen die gültig sind
    Manche Mails werden nicht mehr ankommen, da in der domain kein gültiger MX eintrag auf die IP-Adresse besteht
man könnte höchstes mx einträge mit priorität erstellen, aber da weiß ich nicht ob das geht, vllt sollten wir warten bis Tim die Domain übernommen hat, dann können wir das bequem einstellen.
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
PapaBaer
Beiträge: 256
Registriert: 14.04.2008 00:19

Re: SSL-Zertifikate for free

Beitrag von PapaBaer »

3dfxatwork hat geschrieben:Manche Mails werden nicht mehr ankommen, da in der domain kein gültiger MX eintrag auf die IP-Adresse besteht
Hö? Wenn man den MX ändert (z.B. auf mail.freifunk-halle.net) und noch nen A-Record dazu baut, der auf die IP zeigt, wo ist das Problem? Und das User-Problem sehe ich auch nicht so krass, braucht ja nur nen webmaster@. Und falls mehr, kann man sich die User in ne Datenbank auslagern.
3dfxatwork
Beiträge: 1271
Registriert: 29.07.2007 21:40
Wohnort: Halle

Re: SSL-Zertifikate for free

Beitrag von 3dfxatwork »

ja aber dann gehört mail.freifunk-halle.net zu ner ip, aber nicht mehr der IP von der aus wir mails senden, somit schlägt die spf auflösung fehl und so ziemlich jeder mailfilter wird dir das um die ohren hauen
eine möglichkeit wäre über nen relayhost zu senden, da man den direkt erreichen muss (wegen der firewall), also müsste das per vpn angebunden werden.
Und bei dem Aufwand sollte man nen anderen Server als mail-server einrichten, dann ist wieder das Problem, das forum kann keine mails mehr senden, oder man muss sich per vpn mit dem Mailserver verbinden um so an der firewall vorbei zu kommen.

Es gibt schon nen paar lösungen, aber alle wären frickellösungen, sowie nich schön zu warten
Anschluss: Muth 100/2MBit Modem: Thomson THG570
Router: virtuelles Endian 3.0 (KVM) Hardware: FX-8120, 16 GB Ram
FF-Gateway: virtuelles OpenWRT Attitude Adjustment (KVM) inkl. VPN
Buffalo WHR-HP-G54: OpenWRT 1.6.10-core-1-halle-3 (Stummel)
4huf
Beiträge: 677
Registriert: 19.04.2007 14:56
Wohnort: Zscherben

Re: SSL-Zertifikate for free

Beitrag von 4huf »

haben wir gerade auch auf dem Treffen diskutiert.
Eine Lösung wäre warscheinlich einen 2. MX-Eintrag zu machen.
Da der erste nie erreichbar ist wird für einkommende Mails der 2. genommen.
Und für ausgehende Mails passt der Eintrag für die spf Auflösung.
Der 2. Eintrag müsste auf einen Server zeigen der nur eine Art DNAT machen braucht
um die Mails an unseren Server auf einem anderen Port ,ungleich 25, weiter zu leiten.
. eine Antenne ist der beste HF-Verstärker
.funktionierende Antennen : Short-Backfire, AMOS-5, AMOS-3, Doppelquad, 4fach-Quad
Antworten