Michael Hanig

Bild

Leben (4)
Reisen (9)
Spielen (9)
Technik (8)
und mehr (4)

Einfach sicher? SSL und Folgen

Zunächst einmal ist es meiner Meinung nach absolut nicht notwendig eine so simple private Seite wie meine hier mit TLS verschlüsselt auszuliefern. Aber ich dachte mir, ich fange einfach mal klein an und arbeite mich dann vor. Allerdings gab es bereits schon hier so viele Schwierigkeiten, dass ich mir gar nicht ausmalen möchte, wie kompliziert es auf anderen Seiten werden kann.

Der erste Schritt war noch relativ leicht. Zunächst benötigte ich ein Zertifikat. Ich habe mich dabei für ein kostenloses StartSSL-Zertifikat entschieden. Natürlich hätte ich auch einfach selbst eines erzeugen können, aber das würde selbstverständlich gleich von allen Webbrowsern als unsicher klassifiziert. Nach der Anmeldung und Authentifizierung bekam ich also die Zertifikate und installierte sie auf dem Server. Dann noch die Konfiguration des Webservers angepasst und das erste Mal auf https://hanig.de gegangen. Dort wurde ich mit der Meldung überrascht, dass das verwendete Zertifikat nicht zum Domainnamen passt. Ein Freund, mit dem ich diesen Server teile, hatte nämlich schon für seine Seiten/Domain ein Zertifikat eingerichtet. Eine kurze Internetrecherche ergab, dass es mittels SNI möglich sein sollte, mehrere Zertifikate parallel installiert zu haben. Also wurde auch dies kurzfristig eingerichtet. Beim zweiten Anlauf wurde also mein Zertifikat erkannt und die Seite als unsicher eingestuft. Was hatte ich jetzt falsch gemacht?
Obwohl die Startseite so minimalistisch gestaltet ist, sind dort externe Inhalte zu finden - nämlich die Bilder der W3C-Validatoren. Nun ist es nicht ganz unmöglich andere Inhalte einzubinden, nur müssen diese eben auch via https verschlüsselt ausgeliefert werden. Dies ist in diesem Fall (bzw. oftmals) aber nicht vorgesehen. Als Notlösung muss man diese Inhalte erst einmal lokal speichern und eben vom eigenen Server laden. Praktischerweise ließ sich die Seite nun nicht mehr mit einem einfachen Klick überprüfen, da der Referrer einer sicheren Verbindung nicht an eine unverschlüsselte Verbindung weitergegeben wird. Also musste ich auch noch die Links anpassen, bevor ich die Seite standardmäßig mit Verschlüsselung ausliefere.
Nach einem halben Tag funktionierte also eine Seite zufriedenstellend. Das Zertifikat ist aber auch für diese Subdomain gültig, schaute ich mir an, was hier noch zu tun wäre. Für die Bildergalerie waren die Anpassungen noch überschaubar und einfach gemacht. Für die Hauptseite allerdings ist es etwas schwieriger. Dabei habe ich drei Baustellen identifiziert:

Der erste Punkt ist leicht behoben, denn Gravatar bietet die Bilder auch über eine sichere Verbindung an. Beim zweiten Punkt habe ich den Vorteil, dass ich die volle Kontrolle habe. Natürlich wurmt es mich ein bisschen, dass das Konstrukt als unsicher eingestuft wird, weil es auf unterschiedlichen Domains läuft, wobei beide Domains auf dem selben Server liegen. Eine Möglichkeit wäre die Funktion zu duplizieren und noch einmal unter dieser Domain zur Verfügung stellen. Eine noch unschönere Alternative wäre es für diese Bilder Proxy zu spielen und so zu tun als kämen sie von dieser Domain. Und zu guter Letzt könnte ich natürlich so verrückt sein und auch die missingno.de-Domain auf https umstellen. Auf den letzten Punkt kann ich nur Einfluss nehmen, indem ich nur noch auf https-Inhalte verlinke, sofern vorhanden, oder alternativ die Inhalte zunächst einmal lokal speichere. Allerdings ist das nicht so bequem und dass sich der Mehraufwand lohnt, bezweifle ich doch stark. Deswegen bleibt es hier, auch wenn die Seite mit Warnungen via https erreichbar ist, erst einmal unverschlüsselt als Standard.

Wie bereits eingangs erwähnt frage ich mich, wie das jetzt auf komplexeren Seiten funktionieren soll. Zum Beispiel in einem Forum, wo es prinzipiell sinnvoller ist auf verschlüsselte Verbindungen zu setzen, da sich die Benutzer mit Namen und Passwort anmelden, aber wo auch viel mehr Inhalte von den Benutzern selbst kommen.

Ein Jahr später

Zwei Wochen vor Ablauf der Gültigkeit wurde ich per E-Mail informiert, dass die Zertifikate erneuert werden müssen. So weit, so gut. Nach der Anmeldung bei StartSSL wurde ich zunächst von einem neuen Interface überrascht um dann festzustellen, dass es nicht einfach mit einem Renew, neue Zertifikate und gut getan ist. Zwar ist der erste Schritt ein Klick auf "renew", daraufhin müssen aber erst einmal E-Mail und Domain neu verifiziert werden, da diese Verifizierung immer nur 30 Tage gültig ist. Daraufhin kommt man zur Erstellung eines neuen privaten Schlüssels. Genau an diesem Punkt bin ich zunächst stecken geblieben, da ich, nachdem ich den Schlüssel hatte, nicht auf "Submit" geklickt habe (weil ich den anderen Button zum Herunterladen des Schlüssels gewählt habe), sondern verzweifelt nach einer Möglichkeit gesucht die neuen Zertifikate zu laden. Diese gibt es aber eben erst, wenn der private Schlüssel abgeschickt wurde. Nachdem diese "Hürde" genommen war, klappte das Erstellen der neuen Zertifikate relativ problemlos, auch wenn ich der Meinung bin, dass das vor einem Jahr nicht so kompliziert gewesen ist. Nach dem Update der Zertifikate auf dem Webserver ist mir noch eine fehlerhafte Konfiguration aufgefallen, was jetzt auch wieder behoben sein sollte.

Anscheinend gibt es jetzt(?) Zertifikate für bis zu fünf Subdomains. Da komme ich doch fast ins Grübeln, ob ich mir eines für missingno.de hole ...

Ein weiteres Jahr später

Wieder kam pünktlich zwei Wochen vor Ablauf der Zertifikate eine E-Mail, dass ich mich doch um die Erneuerung kümmern solle. Wieder sieht die StartSSL-Webseite ganz anders aus und wieder kämpfe ich mich durch den geänderten Prozess durch. Diesmal auch wieder neue Überraschungen: Erstens, die Zertifikate sind jetzt drei Jahre gültig und zweitens, die ganzen großen Browser haben sie auf die schwarze Liste gesetzt und erachten sie damit als nicht vertrauenswürdig. Meiner Recherche nach hat das mit einem (nicht kommunizierten) Zusammenschluss von StartSSL und WoSign zu tun und der Tatsache, dass WoSign-Zertifikate nach einem anderen Vorfall nicht mehr vertrauenswürdig eingestuft werden.
Damit habe ich jetzt folgende Optionen:

Im Grunde genommen ist das alles Mist.

2018

Nachdem auch der allerletzte Browser nun die Zertifikate von StartSSL auf die schwarze Liste gesetzt und StartSSL selbst aufgegeben hat, habe ich jetzt ein selbst-signiertes Zertifikat für hanig.de installiert. Alternativen waren mir entweder zu teuer oder zu kompliziert. Auf absehbare Zeit wird das eine Baustelle auf diesen Internetseiten bleiben.

2019

Mit dem Upgrade unseres Servers sind wir auch auf eine aktuelle Debian-Version umgestiegen und haben uns den Certbot gegönnt. Damit sollten nun alle Seiten mit Let's Encrypt-Zertifikaten versorgt sein.

Neuen Kommentar verfassen


pcfhx Icognito-Tabelle

Mario Kart 8

Als Mario Kart 8, für viele lang erwartet, Ende Mai erschienen ist, war ich mir noch nicht sicher, ob ich mir den Fun Racer überhaupt zulegen werde. Den Ausschlag hat letzten Endes die Bonus-Spiel-Aktion von Nintendo gegeben. The Wonderful 101 stand schon länger auf meiner Einkaufsliste und damit hatte sich das dann ergeben.

Ich bin kein treuer Serien-Fan: nach dem ersten Teil auf dem Super NES habe ich bis Mario Kart DS alles mehr oder weniger ignoriert. Die Begeisterung für den DS-Titel schwappte noch über auf die Wii, aber ebbte dann schnell ab.

Kurz nach meiner Kaufentscheidung wurde ich auf den Polyneux MK8 Cup aufmerksam. Zunächst dachte ich, dass ich wegen meiner mangelnden Streckenkenntnis (ich bin die einzelnen Strecken bis dahin vielleicht drei oder vier Mal gefahren) höchstens im Mittelfeld mitfahren könnte (und habe mich schon insgeheim darauf gefreut endlich mal die guten - den ersten Fahrer nervenden - Items zu bekommen), aber bereits in den ersten Rennen lag ich gleich vorne. Eine ganze Weile konnte ich mich sogar unangefochten behaupten, mit der Zeit kamen aber auch stärkere Fahrer ins Turnier und machten mir das Leben schwer. Schlußendlich konnte ich meine Führung (mit 215 von 240 möglichen Punkten) behaupten, auch wenn mir das Verfolgerfeld noch unangenehm nahe gekommen ist.

Endergebnis des Polyneux MK8 Cup vom 18.06.2014

Da wurden Erinnerungen an das 32-Rennen-Turnier bei Nintendo wach.

Endergebnis des 32-Rennen-Mario-Kart-DS-Marathon vom 23.02.2006

Offensichtlich ist bei Mario Kart doch mehr Skill gefragt, als so mancher zugeben möchte. Glück alleine ist es bei mir bestimmt nicht und das ließe sich auch nicht so einfach von einer Version in die andere übertragen.
Mein Glück beschränkt sich darauf, gelegentlich keine Münzen zu bekommen und in der Hälfte aller Rennen in der letzten Runde in der letzten Kurve von einem Blitz und/oder blauen Panzer getroffen zu werden, wodurch ich dann ohne Verteidigungsmöglichkeit ein bis vier Plätze nach hinten durchgereicht werde. Die Chancen drei Sterne in einem 4-Rennen-Cup zu erlangen sinkt damit auf magere 6,25%. (Und es gibt weniger nerviges als vier perfekte Rennen zu fahren um dann ganz am Ende doch nicht Erster zu werden.)
Das Überangebot an ungleichen Gegenständen ist ein Problem, das auch schon die Wii-Version hatte. In der DS-Version habe ich es noch nicht so schlimm empfunden. Ganz zu schweigen vom Original, wo man sowieso nur eines, vielleicht einmal zwei, pro Runde bekommen hat.
Weitere Neuerungen sind für mich die Anti-Gravitations-, Flug- und Tauch-Abschnitte. Während sich erstere noch relativ gut einbinden (es hat etwas F-Zero-eskes), empfinde ich die beiden anderen eher überflüssig. Unter Wasser ist das Geschehen etwas langsamer, aber an der Fahrphysik ändert sich so gut wie nichts und in der Luft passiert selten etwas Spannendes. Wenn überhaupt wird man im Flug abgeschossen und, inzwischen recht flott, von Lakitu wieder auf die Strecke gesetzt.
Bei der Auswahl von Fahrer und Fahrzeug hat man leider wenig Überblick, welche Kombination welche Vor- und Nachteile hat. Man kann (und muss) auch erst bei der Teile-Auswahl eine Balkengrafik für einige Werte manuell einblenden. Außerdem speichert sich das Spiel die Auswahl nicht bei einem Neustart und auch eine sinnvolle Sortierung konnte ich bislang nicht ausmachen.
Etwas Schade ist auch die Verkürzung des Regenbogenboulevards (N64) auf eine Runde. Wenn man da einmal hinten liegt, ist es fast unmöglich wieder nach vorne zu kommen.

Da ich Mario Kart 8 häufiger auf dem Wii-U-Gamepad spiele (aus Gewohnheit auch manchmal, wenn der große Bildschirm gar nicht belegt ist), habe ich mir den größeren Akku gegönnt. Der hat wirklich nicht nur eine höhere Kapazität, sondern füllt auch das Batteriefach aus. Warum Nintendo hier einen kleineren Energieriegel (und Luft) verbaut, ist mir schleierhaft.

Turnierstand nach meinen 16 RennenWii-U-Gamepad: Umbau des Akkus

Neuen Kommentar verfassen


ssptx Icognito-Tabelle

Spiele 2018

Auch dieses Jahr bleibt die Liste relativ übersichtlich. Der letzte Titel für meine Xbox 360 ist nun Diablo III geworden. Die Konsolenversion hauptsächlich für den lokalen Coop-Modus. Den Abgesang der Wii U stimmt Super Mario 3D Wörld an. Auch hier wird zusammen vor dem Fernseher sitzend gehüpft. Für den PC gab es außerdem noch einige kostenlose Spiele, die ich mir auf die Festplatte geschaufelt aber mangels Freizeit noch nicht angeschaut habe.

Die alphabetisch sortierte Kauf-/Spiel-Liste für dieses Jahr:

Meine Spiele 2017.

Neuen Kommentar verfassen


ovqtb Icognito-Tabelle

Aller guten Dinge sind drei

... doch manchmal sind es sogar zwei.

Wer sich darauf noch keinen Reim machen kann, möge sich noch etwas gedulden.

Vanessa und Miranda

Papa mit den Zwillingen im Arm
Pünktlich zum chinesischen Neujahr am 16.2.18 durften wir die beiden neuen Erdbewohner begrüßen. Sie sind soweit gesund und munter und auch der Mama geht es den Umständen entsprechend.

Vanessa

Vanessa Aviva
brachte es mit 45 Zentimeter auf 2225 Gramm.

Miranda

Miranda Eva
brachte es mit 45 Zentimeter auf 1760 Gramm.

Doppeltes VaterglückVanessa AvivaMiranda Eva

Neuen Kommentar verfassen


jhkfm Icognito-Tabelle

Irland

Über Ostern hatten wir einen Urlaub auf der Grünen Insel gebucht. Eigentlich dachten wir, dass meine Frau mit ihrer Niederlassungserlaubnis problemlos innerhalb der EU reisen kann, aber wir wurden eines besseren belehrt.

Die Frage, ob ein Visum für die Reise nach Irland benötigt würde, quälte uns ein paar Tage vor dem Abflug. Zunächst versuchte ich die Antwort in den weiten des Internet zu finden, bekam aber nicht eine, sondern fünf verschiedene. Ich fand heraus, dass Irland zwar in der EU ist, aber (wie Großbritannien) nicht dem Schengen-Raum angehört. Daraufhin habe ich den Reiseveranstalter trendtours kontaktiert, der mich nur an die irische Botschaft verweisen konnte. Dort erreichte ich telefonisch eine Bandansage, dass Fragen zu Visa nicht mehr telefonisch beantwortet werden. Auf der Webseite fand ich dann ein Kontaktformular für eine Anfrage per E-Mail, das allerdings auf 250 Zeichen beschränkt war. Nicht genug Platz um mein Anliegen auch nur annähernd gut genug zu beschreiben. Die Antwort, dass ein Visumantrag drei Wochen(!) zur Bearbeitung benötige, war zwar nicht das, was ich wissen wollte, aber damit war es sowieso zu spät ein Visum rechtzeitig zu bekommen. Ich erkundigte mich noch einmal, ob überhaupt ein Visum nötig sei, worauf es hieß, dass es nicht nötig ist, wenn meine Frau eine Residence card of a family member of a Union citizen habe, andernfalls aber schon. Zu guter Letzt gibt es noch das Gesetz über die allgemeine Freizügigkeit von Unionsbürgern in dem unter anderem steht:

§ 2 Recht auf Einreise und Aufenthalt
(1) Freizügigkeitsberechtigte Unionsbürger und ihre Familienangehörigen haben das Recht auf Einreise und Aufenthalt nach Maßgabe dieses Gesetzes.
...
(4) Unionsbürger bedürfen für die Einreise keines Visums und für den Aufenthalt keines Aufenthaltstitels. Familienangehörige, die nicht Unionsbürger sind, bedürfen für die Einreise eines Visums nach den Bestimmungen für Ausländer, für die das Aufenthaltsgesetz gilt. Der Besitz einer gültigen Aufenthaltskarte, auch der eines anderen Mitgliedstaates der Europäischen Union, entbindet nach Artikel 5 Abs. 2 der Richtlinie 2004/38/EG des Europäischen Parlaments und des Rates vom 29. April 2004 über das Recht der Unionsbürger und ihrer Familienangehörigen, sich im Hoheitsgebiet der Mitgliedstaaten frei zu bewegen und aufzuhalten und zur Änderung der Verordnung (EWG) Nr. 1612/68 und zur Aufhebung der Richtlinien 64/221/EWG, 68/360/EWG, 73/148/EWG, 75/34/EWG, 75/35/EWG, 90/364/EWG, 90/365/EWG und 93/96/EWG (ABl. EU Nr. L 229 S. 35) von der Visumpflicht.

Alles klar?
Da es sowieso zu spät war ein Visum zu beantragen und ich schon einen halben Tag lang Dokumente gelesen habe, die auf Richtlinien querverweisen, die auf Staatsverträge verweisen, welche nur noch mehr Verwirrung statt Klarheit schafften, ging es am Reisetag mit gemischten Gefühlen zum Flughafen.
Am Check-In-Schalter wurde natürlich zunächst nach einem Visum gesucht, aber nachdem ich meine Recherche-Ergebnisse vorgelegt hatte und noch die Bundespolizei befragt wurde, hieß es, dass alles in Ordnung sei. Selbstverständlich waren die Grenzbeamten in Irland anderer Meinung und erklärten, dass wir uns nicht auf den Freedom of Movement Act/EU berufen können, weil ich als Deutscher in Deutschland lebe und dieser nur greift, wenn man nicht in dem EU-Land lebt, in dem man Bürger ist. (Also wenn ich als Deutscher in Österreich oder Frankreich wohnen würden, bräuchte meine Frau kein Visum für die Einreise nach Irland, da ich in Deutschland lebe aber schon. Ist die EU nicht toll?) Immerhin, wir bekamen einen Visum-Stempel und konnten unseren Urlaub beginnen.

Zunächst ging es nach einem Fáilte! der Reiseleiterin mit dem Bus ins Lucan Spa Hotel in der Nähe von Dublin. Den freien Nachmittag verbrachten wir mit einem ersten Erkundungsspaziergang von Dublins Innenstadt. Dabei ging es vorbei an der Temple Bar, Dublin Castle und der Christchurch Cathedral.
Am nächsten Tag sollte es mit dem Bus nach Lisdoonvarna gehen, zuvor machten wir aber noch eine kleine Stadtrundfahrt in Dublin mit Stopps im Phoenix Park und dem National Museum of Ireland. Auf dem Weg ins Hydro Hotel in Lisdoonvarna besichtigten wir noch den irischen schiefen Turm von Kilmacduagh Monastery und wagten einen Blick von den Cliffs of Moher.
Am zweiten Tag ging es nach Kylemore Abbey und in die viktorianischen Gärten.
Den dritten Tag verbrachten wir mit einem Schiffs-Ausflug auf dem Fluss Shannon und Lough Derg, sowie einer kleinen Wanderung um Lisdoonvarna.
Am vierten Tag konnten wir ausschlafen, besichtigten das berühmte Burren Smokehouse und kauften natürlich auch etwas geräucherten Lachs ein. Am Nachmittag ging es dann noch zum Bunratty Castle. Den Abschluss des Tages bildete der irische Abend im Hotel.
Tags darauf ging es zum Loop Head Lighthouse und auf eine zweistündige Wanderung an den Cliffs of Moher entlang.
Bevor es wieder zurück nach Dublin geht, schauen wir uns noch eine Tropfsteinhöhle im Aillwee Cave an und decken uns mit ursprünglichem irischen Whisky und lokalen Käsespezialitäten ein.
Die Rückreise nach Deutschland verläuft relativ unspektakulär, aber mit 1,5 Stunden Verspätung des Fliegers, so dass wir unsere Wohnung erst am Abend erreichen.

Lucan Spa HotelZugang zum Dublin CastleChristchurch CathedralChristchurch CathedralBunte Türen in DublinPapst-Kreuz im Phoenix ParkHalf-Penny-BridgeZollgebäude in DublinMillennium Spire (der weltgrößte Zahnstocher)St. Patricks CathedralKilmacduagh MonasteryO`Brien`s TowerPeacockes HotelBlick vom AussichtsturmPause mit irischem KaffeeKylemore AbbeyGothic "Memorial" ChurchBügeleisensteinViktorianischer Mauergarten mit Blick auf das Gärtnerhaus; im Vordergrund sind die Reste der alten Gewächshäuser zu sehenAusblick auf einen Berg mit Irlands schönstem Unkraut (Rhododendron) vom Loch DergKillaloe-Brücke vom Fluss ShannonBunratty CastleFruchtbarkeitsstein in der FensternischeBlumen im MauergartenLoop Head LighthouseBlick vom LeuchtturmEin kurzer Zwischenstopp auf einer typischen irischen LandstraßeBlick von den KlippenMittagspause in einem weiteren MauergartenWanderung entlang der Cliffs of MoherUnser Wanderführer posiert mit der irischen FlaggeWanderung entlang der Cliffs of MoherWanderung entlang der Cliffs of MoherWanderung entlang der Cliffs of MoherWanderung entlang der Cliffs of MoherAillwee CaveDer WasserfallDie KarottenRegenwasser fließt durch die Höhle

Neuen Kommentar verfassen


bgzvy Icognito-Tabelle

« ¦ »

Diese Seiten werden verlinkt von ... prednisolone40.com ... albendazoletablets.com ... doxycycline1.com ... amoxicillin500.com ... lasix100.com

© 2013-2019