Michael Hanig

Bild

Leben (4)
Reisen (9)
Spielen (8)
Technik (8)
und mehr (3)

Einfach sicher? SSL und Folgen

Zunächst einmal ist es meiner Meinung nach absolut nicht notwendig eine so simple private Seite wie meine hier mit TLS verschlüsselt auszuliefern. Aber ich dachte mir, ich fange einfach mal klein an und arbeite mich dann vor. Allerdings gab es bereits schon hier so viele Schwierigkeiten, dass ich mir gar nicht ausmalen möchte, wie kompliziert es auf anderen Seiten werden kann.

Der erste Schritt war noch relativ leicht. Zunächst benötigte ich ein Zertifikat. Ich habe mich dabei für ein kostenloses StartSSL-Zertifikat entschieden. Natürlich hätte ich auch einfach selbst eines erzeugen können, aber das würde selbstverständlich gleich von allen Webbrowsern als unsicher klassifiziert. Nach der Anmeldung und Authentifizierung bekam ich also die Zertifikate und installierte sie auf dem Server. Dann noch die Konfiguration des Webservers angepasst und das erste Mal auf https://hanig.de gegangen. Dort wurde ich mit der Meldung überrascht, dass das verwendete Zertifikat nicht zum Domainnamen passt. Ein Freund, mit dem ich diesen Server teile, hatte nämlich schon für seine Seiten/Domain ein Zertifikat eingerichtet. Eine kurze Internetrecherche ergab, dass es mittels SNI möglich sein sollte, mehrere Zertifikate parallel installiert zu haben. Also wurde auch dies kurzfristig eingerichtet. Beim zweiten Anlauf wurde also mein Zertifikat erkannt und die Seite als unsicher eingestuft. Was hatte ich jetzt falsch gemacht?
Obwohl die Startseite so minimalistisch gestaltet ist, sind dort externe Inhalte zu finden - nämlich die Bilder der W3C-Validatoren. Nun ist es nicht ganz unmöglich andere Inhalte einzubinden, nur müssen diese eben auch via https verschlüsselt ausgeliefert werden. Dies ist in diesem Fall (bzw. oftmals) aber nicht vorgesehen. Als Notlösung muss man diese Inhalte erst einmal lokal speichern und eben vom eigenen Server laden. Praktischerweise ließ sich die Seite nun nicht mehr mit einem einfachen Klick überprüfen, da der Referrer einer sicheren Verbindung nicht an eine unverschlüsselte Verbindung weitergegeben wird. Also musste ich auch noch die Links anpassen, bevor ich die Seite standardmäßig mit Verschlüsselung ausliefere.
Nach einem halben Tag funktionierte also eine Seite zufriedenstellend. Das Zertifikat ist aber auch für diese Subdomain gültig, schaute ich mir an, was hier noch zu tun wäre. Für die Bildergalerie waren die Anpassungen noch überschaubar und einfach gemacht. Für die Hauptseite allerdings ist es etwas schwieriger. Dabei habe ich drei Baustellen identifiziert:

Der erste Punkt ist leicht behoben, denn Gravatar bietet die Bilder auch über eine sichere Verbindung an. Beim zweiten Punkt habe ich den Vorteil, dass ich die volle Kontrolle habe. Natürlich wurmt es mich ein bisschen, dass das Konstrukt als unsicher eingestuft wird, weil es auf unterschiedlichen Domains läuft, wobei beide Domains auf dem selben Server liegen. Eine Möglichkeit wäre die Funktion zu duplizieren und noch einmal unter dieser Domain zur Verfügung stellen. Eine noch unschönere Alternative wäre es für diese Bilder Proxy zu spielen und so zu tun als kämen sie von dieser Domain. Und zu guter Letzt könnte ich natürlich so verrückt sein und auch die missingno.de-Domain auf https umstellen. Auf den letzten Punkt kann ich nur Einfluss nehmen, indem ich nur noch auf https-Inhalte verlinke, sofern vorhanden, oder alternativ die Inhalte zunächst einmal lokal speichere. Allerdings ist das nicht so bequem und dass sich der Mehraufwand lohnt, bezweifle ich doch stark. Deswegen bleibt es hier, auch wenn die Seite mit Warnungen via https erreichbar ist, erst einmal unverschlüsselt als Standard.

Wie bereits eingangs erwähnt frage ich mich, wie das jetzt auf komplexeren Seiten funktionieren soll. Zum Beispiel in einem Forum, wo es prinzipiell sinnvoller ist auf verschlüsselte Verbindungen zu setzen, da sich die Benutzer mit Namen und Passwort anmelden, aber wo auch viel mehr Inhalte von den Benutzern selbst kommen.

Ein Jahr später

Zwei Wochen vor Ablauf der Gültigkeit wurde ich per E-Mail informiert, dass die Zertifikate erneuert werden müssen. So weit, so gut. Nach der Anmeldung bei StartSSL wurde ich zunächst von einem neuen Interface überrascht um dann festzustellen, dass es nicht einfach mit einem Renew, neue Zertifikate und gut getan ist. Zwar ist der erste Schritt ein Klick auf "renew", daraufhin müssen aber erst einmal E-Mail und Domain neu verifiziert werden, da diese Verifizierung immer nur 30 Tage gültig ist. Daraufhin kommt man zur Erstellung eines neuen privaten Schlüssels. Genau an diesem Punkt bin ich zunächst stecken geblieben, da ich, nachdem ich den Schlüssel hatte, nicht auf "Submit" geklickt habe (weil ich den anderen Button zum Herunterladen des Schlüssels gewählt habe), sondern verzweifelt nach einer Möglichkeit gesucht die neuen Zertifikate zu laden. Diese gibt es aber eben erst, wenn der private Schlüssel abgeschickt wurde. Nachdem diese "Hürde" genommen war, klappte das Erstellen der neuen Zertifikate relativ problemlos, auch wenn ich der Meinung bin, dass das vor einem Jahr nicht so kompliziert gewesen ist. Nach dem Update der Zertifikate auf dem Webserver ist mir noch eine fehlerhafte Konfiguration aufgefallen, was jetzt auch wieder behoben sein sollte.

Anscheinend gibt es jetzt(?) Zertifikate für bis zu fünf Subdomains. Da komme ich doch fast ins Grübeln, ob ich mir eines für missingno.de hole ...

Ein weiteres Jahr später

Wieder kam pünktlich zwei Wochen vor Ablauf der Zertifikate eine E-Mail, dass ich mich doch um die Erneuerung kümmern solle. Wieder sieht die StartSSL-Webseite ganz anders aus und wieder kämpfe ich mich durch den geänderten Prozess durch. Diesmal auch wieder neue Überraschungen: Erstens, die Zertifikate sind jetzt drei Jahre gültig und zweitens, die ganzen großen Browser haben sie auf die schwarze Liste gesetzt und erachten sie damit als nicht vertrauenswürdig. Meiner Recherche nach hat das mit einem (nicht kommunizierten) Zusammenschluss von StartSSL und WoSign zu tun und der Tatsache, dass WoSign-Zertifikate nach einem anderen Vorfall nicht mehr vertrauenswürdig eingestuft werden.
Damit habe ich jetzt folgende Optionen:

Im Grunde genommen ist das alles Mist.

2018

Nachdem auch der allerletzte Browser hat nun die Zertifikate von StartSSL auf die schwarze Liste gesetzt und StartSSL selbst aufgegeben hat, habe ich jetzt ein selbst-signiertes Zertifikat für hanig.de installiert. Alternativen waren mir entweder zu teuer oder zu kompliziert. Auf absehbare Zeit wird das eine Baustelle auf diesen Internetseiten bleiben.

Neuen Kommentar verfassen


uosmk Icognito-Tabelle

Google Müll

Ich weiß nicht mehr genau, ob ich meinen Google(-Mail)-Account wegen IMAP angelegt habe oder ob ich für einen anderen Google-Dienst ein Konto eröffnet habe. Es war jedenfalls nach dem Einladungs-Hype und so wirklich genutzt habe ich Gmail nicht. Zum Einen weil meine Hauptadresse seit Ewigkeiten bei GMX ist, zum Anderen weil Google es einem ziemlich schwer macht den Dienst zu nutzen. Nachrichten mit Anhängen (oder bestimmten Links) werden nicht zugestellt bzw. lassen sich gar nicht erst verschicken. Doch auf meiner letzten Reise hat Google selbst das noch überboten: ich durfte mich nicht einmal mehr anmelden, weil ich im Vereinigten Königreich unterwegs war. Der größte Witz an der Geschichte ist dann, dass ich zwar eine SMS über den verhinderten potentiellen Missbrauch meines E-Mail-Kontos bekam, aber mir keine Möglichkeit geboten wurde mich mittels Zwei-Faktor-Authentisierung anzumelden. Stattdessen bekam ich lediglich einen Link zur FAQ, die mich informierte, was es mit der Ablehnung auf sich hat.
Neben Google-Mail habe ich mir die Webmaster-Tools und Google+ angeschaut. Beides wurde zuletzt immer weniger bis gar nicht mehr genutzt. Andere Dienste sind entweder auch ohne Anmeldung nutzbar (z.B. Suche, YouTube) oder wurden von mir überhaupt noch nie verwendet.
Als letzte Konsequenz habe ich nun mein Google-Konto gelöscht.

Neuen Kommentar verfassen


jaxin Icognito-Tabelle

Spiele 2015

Auch dieses Jahr spielte sich für mich hauptsächlich auf den Nintendo-Konsolen (Wii U und 3DS) ab. Am PC habe ich einige Titel, die schon länger in der Steam-Bibliothek sind, weil sie bei diversen Bundles dabei waren, abgehakt und außerdem ist mit Cities: Skylines ein mehr als würdiger Nachfolger für Sim City 4 erschienen.

Die alphabetisch sortierte Kauf-/Spiel-Liste für dieses Jahr:

Meine Spiele 2014.

Neuen Kommentar verfassen


vuuvi Icognito-Tabelle

Deutschland

Die Reise beginnt mit zwei Ausflügen zum Frankfurter Flughafen. Beim ersten Anlauf hieß es wegen eines verpassten Anschlussfluges außer Spesen nix gewesen. Vom Flughafen aus ging es dann mit etwa einem halben Tag Verspätung erst einmal nach Leutenbach, um nach einer kleinen Erholungspause das Schokoladen-Fondue in Winnenden mitzunehmen.
Am zweiten Tag ging es dann nach Ludwigsburg ins Blühende Barock, wo zu dieser Zeit eine Kürbisausstellung statt fand. Zum Start der Woche wurden dann erst einmal ein paar Lebensmittel eingekauft und im Wohnmobil verstaut. Damit ging es dann mit einem kurzen Zwischenstopp in Gutach nach Rust. Den Tag darauf haben wir dann im Europa-Park verbracht. Bereits am Abend ging es dann weiter nach Lindau am Bodensee. Von Lindau aus ging es nach einem kleinen Zwischenfall nach Füssen und weiter nach Hohenschwangau wo wir selbstverständlich das Schloss Neuschwanstein besichtigten.
Eigentlich war geplant von dort aus in den Norden zu fahren, aber dann ging es doch erst wieder zurück nach Leutenbach. Wieder im Ländle wurde dann kurzerhand Stuttgart unsicher gemacht. Mit dabei natürlich die Zahnradbahn "Zacke" und der Fernsehturm. Weiter ging es dann nach Würzburg und Veitshöchheim. In meiner Wohnung wurde dann ein Hotel für den nächsten Ausflug gebucht und über zu teure Bahnpreise geflucht. Eine Nacht später ging es dann Richtung Berlin beziehungsweise erst einmal ins Hotel um sich für die kommenden Strapazen in der Hauptstadt zu erholen.
Es blieb jedoch bei einer reinen Stadtbesichtigung, weil keiner von uns Lust hat stundenlang anzustehen. Erschöpft von der Erkundungstour blieben wir noch eine Nacht im Hotel. Bevor es dann wieder heim ging, machten wir noch einen Abstecher nach Potsdam.
Zu später Stunde erreichten wir dann wieder Veitshöchheim. Frisch ausgeruht ging es am nächsten Morgen noch nach Rothenburg o.d.T. Damit war dann das "Pflichtprogramm" Deutschland in zehn Tagen beendet. In Würzburg wurden noch einige Souvenirs eingekauft und heute ging es wieder nach Frankfurt Flughafen.

Dinos kreuzenKürbis-AusstellungPapier-Schlucker im MärchengartenBlühendes BarockSchloß HohenschwangauSchloß NeuschwansteinBundestagBrandenburger TorReiterstandbild des Königs Friedrich der GroßeBerliner DomNeptunbrunnenWeltzeituhr am AlexanderplatzCurry-Wurst-MobilCheckpoint CharlieMauer-MuseumJüdisches MuseumBrandenburger Tor (Potsdam)Schloß SanssouciSanssouci

Neuen Kommentar verfassen


qpbwk Icognito-Tabelle

Schweden

Unser primäres Ziel, die Nordlichter (Aurora borealis) zu sehen, haben wir wegen des schlechten Wetters nicht erreicht. Aber wir konnten andere Eindrücke aus Schweden mitbringen.

Nach der Überfahrt auf der "Tom Sawyer" geht es erst einmal nach Norrköping, wo ein Freund von mir wohnt und wir für unseren Urlaub übernachten können. Auf dem Weg dorthin machen wir schon ein paar kleine Stopps und sehen uns neben der Landschaft auch Elche in einem Elchpark an. An einem regnerischen Vormittag geht es dann zunächst nach Stockholm. Im Rathaus erhalten wir einen Stadtplan und machen uns dann zu einigen Sehenswürdigkeiten auf. Im Laufe des Tages bricht dann auch die Sonne durch die Wolken, so dass wir auf dem Rückweg sogar ein paar präsentable Fotos machen können. Am nächsten Tag machen wir bei etwas besserem Wetter ein paar kleine Wandertouren rund um Norrköping, um bei wieder etwas schlechterem Wetter die Stadt selbst und Museen anzuschauen. Zu guter Letzt geht es auf dem Heimweg noch in den Nationalpark Store Mosse, bevor wir mit der "Huckleberry Finn" wieder nach Deutschland schippern.

Am Rathaus von StockholmQuerfeldein zum WandernPilzUmgestürzter BaumFarneBeeren sammeln am WegesrandHolzweg durchs MoorWebmaschineSchmiedeModell von Norrköping (um 1600)Kirche in NorrköpingWanderkarten und StadtplanBeerensträucherBlick aufs Fährdock aus der Kabine

Neuen Kommentar verfassen


whvor Icognito-Tabelle

« ¦ »

Diese Seiten werden verlinkt von ... blog.missingno.de ... www.google.de ... www.google.com ... www.baidu.com ... metager.de

© 2013-2015