http://blog.dreckhaen.de/ Notizen beim Schrauben en Serendipity 1.5.2 - http://www.s9y.org/ Mon, 08 Mar 2010 18:28:39 GMT http://blog.dreckhaen.de/templates/default/img/s9y_banner_small.png http://blog.dreckhaen.de/ 100 21 http://blog.dreckhaen.de/archives/13-SSL-und-IPv6.html http://blog.dreckhaen.de/archives/13-SSL-und-IPv6.html#comments http://blog.dreckhaen.de/wfwcomment.php?cid=13 0 http://blog.dreckhaen.de/rss.php?version=2.0&type=comments&cid=13 nospam@example.com (daniel) <p>Ich hatte den seltsamen Effekt, dass von den Merkmalen IPv4/IPv6 und http:/https: alle Permutationen funktionierten bis auf IPv6 mit https. Die Konfiguration der vhosts unter apache2 sah klar und richtig aus, aber sobald ich von http:// auf https:// wechselte, fiel die Verbindung von IPv6 auf IPv4 zurück.</p> <br /> <p>Nun, es war kein Mangel am Startcom - Zertifikat und auch kein Bug des ssl, apache2 oder firefox sondern was fehlte war in ports.conf ein&#160; <br /></p> <br /> <pre>Listen 443<br /> </pre> <br /> <p>Beim Herumtesten kam mir noch ein anderer 'falscher Fehler' unter:<br />Bei einer adhoc ssl-isierten Domain monierte firefox <strong style="color: #0f0f0f;">&quot;ssl_error_rx_record_too_long&quot;</strong> und apache schrieb ins error_log <font color="Red" style="color: #000000;"><strong>&quot;[error] [client 192.168.1.100] Invalid method in request \x16\x03\x01&quot;</strong></font>. Tatsaechlich müßte der Text der Fehlermeldung besser lauten: &quot;Your SSL configuration is crap&quot;denn es fehlten für den :443 - vhost die Zeilen mit SSLEngine, SSLCertificateFile, SSLCertificateKeyFile etc.<br /><br /></p> Tue, 02 Mar 2010 14:47:28 +0100 http://blog.dreckhaen.de/archives/13-guid.html apache https ssl webserver http://blog.dreckhaen.de/archives/10-kostenloses-Serverzertifikat.html http://blog.dreckhaen.de/archives/10-kostenloses-Serverzertifikat.html#comments http://blog.dreckhaen.de/wfwcomment.php?cid=10 0 http://blog.dreckhaen.de/rss.php?version=2.0&type=comments&cid=10 nospam@example.com (daniel) <p>Verschlüsselte Verbindungen machen Sinn, auch wenn man keinen WebShop betreibt oder eine Bank ist. Die Passwörter beim Zugriff auf die Mail oder die Daten im geschützten Kundenbereich möchte man schon vor cachenden Proxies oder einem lauschenden wireshark verborgen halten - aber dazu braucht es Zertifikate.&#160;</p> <br /> <p>Die kann man sich zwar ohne grosse Mühe selber erstellen und signieren, aber solchen Eifer bestrafen die Browser, namentlich FireFox, mit so eindrucksvollen Warnhinweisen, dass 'normale' Nutzer unweigerlich den Eindruck bekommen, die Verschlüsselung sei das Sicherheitsrisiko.</p> <br /> <p>Und 'echte' Zertifikate sind zu teuer. Mit einer Ausnahme: <a href="https://www.startssl.com/">startssl.com</a>, da bekommt man&#160; Serverzertifikate für je eine Domain und eine Subdomain umsonst. Geht ganz leicht, <a href="http://www.heise.de/security/artikel/SSL-fuer-lau-880221.html">heise </a>hat im Zweifel aber auch eine handliche Anleitung dazu.</p><br /> <p>&#160;Es empfiehlt sich nur, wenn man postgrey auf dem mail server hat, startcom.org in die whitelist einzutragen, sonst muss man den Validierungsprozess wieder und wieder beginnen.<br /></p> Fri, 26 Feb 2010 16:44:40 +0100 http://blog.dreckhaen.de/archives/10-guid.html https linux ssl webserver