Kategorien

• Ankündigungen
  

  Ankündigungen zu diesem Forum

  5
  Themen
  5
  Beiträge

  

  Nachdem StartSSL offenbar es nicht für nötig hält, die Regeln des CA/Browser Forums einzuhalten, hat Mozilla beschlossen, in einer der nächsten Versionen von Firefox StartSSL raus zu schmeißen. Google wird bei Chrome vermutlich ebenso handeln.

  Aus diesem Grund wurden unsere Server auf Let’s Encrypt Zertifikate umgestellt.

  Sollte also eine Warnung kommen, dass sich das Server Zertifikat geändert hat, dann ist das in Ordnung. Die TLSA/DANE Validierung wird bestätigen, dass das Zertifikat korrekt ist. Es darf jedoch keine Meldung erscheinen, dass das Serverzertifikat nicht gültig ist.

• ip6li board
  

  Die ip6li Foren

  E-Mail Infos

  8
  Themen
  9
  Beiträge

  

  Tor

  Unser offenes WLAN ist nur über die SSID tor erreichbar. Über einen Proxy kommt man via Tor in das Internet. Der Proxy hat die Aufgabe, einen Bypass der Tor Verbindung zu unterbinden. Das funktioniert einfach über unser internes Netzwerk, der Proxy hat keine Verbindung in das Internet, er kann nur über nachgelagerten Tor Server Verbindung in das Internet aufnehmen. Siehe auch Freies WLAN ohne Störerhaftung.

  In die Proxy Lösung ist auch Privoxy eingebunden, der das Tracking erschwert.

  Via WLAN Friendly Country

  Irgendwann kommt noch eine Lösung, die auch ohne Tor funktioniert. Leider hat es unsere Bundesregierung erneut versaut, ansonsten würden wir unser offenes WLAN mit echten RIPE IPv4 und IPv6 Adressen im Dual Stack Betrieb betreiben.

  Freifunk

  Es kam immer wieder die Frage, warum wir das nicht via Freifunk machen. Freifunk ergibt in erster Linie dann einen Sinn, wenn mehrere Geräte ein WLAN Mesh aufspannen. Das ist allerdings nur dann sinnvoll, wenn damit in einer strukturschwachen Umgebung eine bessere Internetanbindung geschaffen wird. Bei uns sieht das ganz gut aus und es wäre nicht sinnvoll, die Freifunk VPN Server mit unnötigem Traffic zu belasten, der genauso gut über einen anderen Server geleitet werden kann.

• Kommentare & Feedback
  

  Ist noch eine Frage offen? Einfach hier fragen

  FAQ

  3
  Themen
  4
  Beiträge

  

  PGP/GnuPG können nicht im Sinne des Wortes gelöscht werden, denn der Public Key wurde ja schon publiziert, in dem er an andere Personen weitergegeben oder auf einen Keyserver hoch geladen wurde.

  Revoke

  Es gibt daher nur die Möglichkeit, einen Schlüssel zu widerrufen (revoke), ihn also für ungültig zu erklären. Wenn ein Schlüssel widerrufen ist, dann werden damit signierte Dokumente, die nach dem Revoke Datum signiert wurden, nicht mehr als authentisch angesehen. Dokumente, die vor dem Revoke Datum signiert wurden, gelten jedoch weiterhin als authentisch.

  Die meisten Verschlüsselungstools werden sich auch weigern, Mails mit einem Public Key zu verschlüsseln, der im Status revoked ist. Ein Schlüssel kann mit den folgenden Befehlen widerrufen werden:

  gpg --gen-revoke 0x12345678 > /tmp/revoke.asc gpg --import /tmp/revoke.asc gpg --keyserver key.ip6.li --send-keys 0x12345678

  Statt 0x12345678 muss natürlich die korrekte Key Id angegeben werden. Statt der Short Notation mit 32 Bit kann auch die Long Notation mit 64 Bit in der Form 0x0123456789ABCDEF angegeben werden.

  Unser Key Server ist Teil des SKS Keyserver Networks, somit werden innerhalb kurzer Zeit alle an diesem Netzwerk angeschlossenen Keyserver den betreffenden Schlüssel in den Status revoded setzen.

• Blogs
  

  Blogs

  X.509 DNS OAuth HowTo Windows Linux und *BSD Elektronik

  49
  Themen
  50
  Beiträge

  

  Mit dem Certbot kann man zumindest theoretisch sehr einfach zu einem kostenlosen und von den meisten Browsern anerkannten Server Zertifikat kommen. In der Praxis gibt es jedoch hin und wieder ein paar Stolperfallen, die das Ausrollen des Zertifikats zu einem Problem lassen werden können.

  Reverse Proxy certbot certonly --webroot -w /var/www/html -d example.com

  würde funktionieren, wenn /var/www/html lokal wäre, was bei einer Reverse Proxy Konfiguration i.d.R. nicht der Fall ist.

  Der certbot nimmt jedoch nur die URL /.well-known/ für sich in Anspruch, so dass im http Abschnitt der Reverse Proxy Konfiguration eine Lösung möglich ist. https Configs sind für den certbot nicht relevant, der gibt dem Let’s Encrypt Validation Server immer eine http://… URL mit.

  Apache httpd 2.4

  In allen VirtualHost Abschnitten löst folgende Config das Reverse Proxy Problem:

  Alias "/.well-known/" "/var/www/html/.well-known/" RedirectMatch 301 ^(?!/\.well-known/.*) https://w.example.com Nginx

  Beim Nginx ist ebenfalls kein großer Config Aufwand notwendig:

  location ~ /.well-known/ { root "/var/www/html/letsencrypt"; } Certbot

  Jetzt sollte ein certbot Aufruf zu Congratulations… und dem gewünschten Zertifikat führen. Der automatische Renew sollte auch im Livebetrieb der Anwendung funktionieren, was man mit

  certbot renew --dry-run

  testen kann. Einmal in der Woche sollte ein

  certbot renew --quiet

  ausgeführt werden. Im Falle des Zertifikatsupdates muss evtl. der Webserver (Reverse Proxy) neu gestartet werden.

• Kontakt
  

  Impressum und Datenschutz

  2
  Themen
  2
  Beiträge

  

  Cookies

  Unsere Webseite speichert in Ihrem Browser Cookies. Diese Cookies dienen ausschließlich der Sessionverwaltung. Nach dem Schließen des Browser Fensters werden diese Cookies normalerweise automatisch gelöscht. Unsere Webseite führt kein Usertracking durch.

  Personenbezogene Daten

  Falls Sie sich für unseren Freemail Service anmelden, dann werden personenbezogene Daten erhoben. Diese Daten werden in einem besonders geschützten und verschlüsselten Bereich gespeichert. Die Daten werden nur zum Zweck der damit verbundenen Services wie z.B. für das Login auf dieser Seite oder dem Freemailservice verwendet. Eine Weitergabe an Dritte erfolgt in keinem Fall.

  Wird der Account gesperrt oder gelöscht, dann werden auch die personenbezogenen Daten gelöscht. Evtl. vom Nutzer erstellte öffentliche Beiträge bleiben jedoch weiterhin abrufbar.

  Wird ein Freemail Account 90 Tage lang nicht mehr genutzt, so werden der Account und die damit verbundenen personenbezogenen Daten und Mails automatisch gelöscht.

  Logfiles

  Der Webserver und im Falle der Nutzung unseres Freemail Services werden Logfiles erstellt. Diese Logfiles enthalten die IP Adresse sowie die URL der angerufenen Seiten. Tritt ein Fehler beim Abruf auf, dann wird auch dieses Ereignis in den Logs gespeichert. Im Falle der Freemail Nutzung werden IP-Adresse, Absender und Empfängeradresse der Mail gespeichert sowie Erfolg oder Misserfolg der Zustellung. Weiterhin werden werden beim Abruf von E-Mails die IP-Adresse und der Username gespeichert.

  Alle Logfiles werden nach spätestens 24h gelöscht, wobei ein spezielles Verfahren zur sicheren Löschung verwendet wird, so dass auch nachträglich mit forensischen Methoden eine Wiederherstellung der glöschten Logfiles nicht mehr möglich ist.

  Die Logfiles werden ausschließlich zur Fehlerdiagnose und für statischtische Auswertungen wie z.B. Serverauslastung verwendet.

  Content Delivery Network

  Unsere Seite bindet statische Inhalte über ein Content Delivery Network (CDN) ein. Bei diesen Dateien handelt es sich um Javascript, CSS oder Fonts. Aus Datenschutzgründen gehen über das CDN keine Logindaten. Das CDN erstellt selbst Logfiles, die IP-Adresse sowie Name der abgerufenen Datei enthalten. Aus Sicherheitsgründen wurde für die Nutzung der CDN Services eine eigene Domain cdn6.de erstellt.