Das längste Thema

    whoami0501 wrote:

    An sich eine coole Sache. Aber das ist ja dann ein vollständiger MITM, dein Proxy?

    Wie macht man das - Installiert man sich da ein Root Zertifikat ins OS rein und dann läuft der Spaß einfach so? Verhakt sich das nicht mit OCSP?

    nein OCSP und andere Dinge sind absolut kein Problem,

    auch die Geschichten mit HPKP udgl. nicht, denn diese HTTP Header filtert man auch weg;

    nur mit Google Chrome heisst es aufpassen, die Schlitzohren haben deren CA Zertifikat hardcoded drin,

    und des bekommt dann nicht gut;

    die grüne Kindergartenleiste gibt es damit auch nicht mehr;

    die Browser erkennen dies an Hand der OID des jeweiligen Intermediate Zertifikates der einzelnen CAs


    im westentlichen, ich habs ein wenig mehr sophisticated;

    ich hab ein eigenes Root CA,

    mit dem hab ich das Proxy CA Zertifikat signiert und auch auch ein weiteres CA Zertifikat,

    mit welchem ich die SSL-Zertifikate vom internen LAN signiert habe;

    die verwende ich am lokalen SMTP-Server bzw. IMAP-Server als auch Apache;

    meiner eigenen CA kann ich ja vertrauen ;)


    es hat Vor- und auch Nachteile; wenn ein Webmaster schlampig ist, und sein Zertifikat nicht erneuert,

    bekommst Du vom Proxy eine Fehlerseite und kannst diese nicht einfach umgehen,

    wenn Du der Meinung bist, dass es in Ordnung sei;


    auf der anderen Seite gibst Du zentral vor, welchen CAs vertraut wird;

    IE/Edge und Outlook nutzen den Certstore vom Windows,

    im wesentlchen nutzt ihn unter Windows auch Google's Chrome

    Mozilla FF sowie TB liefern ihren eigenen Certstore mit;


    das eigene Root CA Zertifikat muss man nur einmal in die jewiligen Certstores importieren;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

    Auch lustig: Zwar sind jetzt hier Osterferien und der "digitale Unterricht" hat erstmal für zwei Wochen Pause, was natürlich nicht heißt, dass man sich keine Aufgaben hätte aufschieben können, weil man ja eh nichts zutun hat, und pünktlich zum ersten Ferientag ist das Zertifikat vom hessenweiten Schulportal abgelaufen. Ach, und nicht nur das, sondern auch das der dahinterstehenden Organisation, sodass man nichtmal auf die Schnelle an Kontaktdaten kommt. Ist natürlich optimal, wenn noch Abgaben ausstehen...


    Auch wenn mir das hin und wieder durch ne vermurkste Konfiguration auch mal mit meinem Mailserver passiert und ich manuell eingreifen muss, so habe ich echt wenig verständnis dafür, wenn im professionellen Umfeld kein Monitoring da ist, am Geld dürft's ja nicht scheitern. Naja, immerhin funktionieren die dahinterliegenden Plattformen noch, wenn man die URLs kennt...

    03simon10 oft brauchts dafür kein Monitoring, in dem eh schon jeder x 1000 Timer hat, kann sich doch der verantwortliche einfach einen Temin notieren ;)

    vorausgesetzt er produziert nicht einen derarten Pfusch wie diesen: "man nehme das Zertifikat plus irgendein nichtpassendes Intermediate und baue das in den Apache ein ..."

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

    03simon10 wrote:

    Naja, mittlerweile haben sie's behoben, die lange Wartezeit lag wohl daran, dass man noch ein Zertifikat an sich ordern musste. Mit Let's Encrypt (meinetwegen auch nur zur Überbrückung) wäre das nicht passiert.

    LetsEncrypt ist überhaupt nicht vertrauenswürdig!!11!!!11!!elf!11!!!


    Also hat mir zumindest letztens mal ein Dozent erklärt.

    Dass sein Webshop weder Umleitung von HTTP auf HTTPS, noch HSTS, noch DNSSEC, noch CAA konnte und in allen Sicherheitsscannern grottenschlecht war, das konnte er mir nicht sagen. Sowas aber auch. ;)

    Es tut weh, wenn man sich ein kleines Powershell Script zusammen bastelt, um sich alles mögliche an Informationen aus dem AD zu holen und die Daten zu verarbeiten bzw. sofort wissen zu können warum/weshalb/wieso/wann/wie etwas kaputt gegangen ist oder jemand anruft...


    ... und man dann gesagt bekommt "Steck in sowas keine Zeit und lade dir lieber ein fertiges Programm runter."


    :S

    An die Borg Nutzer - dedupliziert Borg eigentlich repository-übergreifend?


    Ecki wrote:

    RS wird wohl über 12 Monate laufen. Mal sehen was es an Sonderausstattungen bei den RS und VPS gibt.

    Das ist auch das einzige, wo ich Hoffnung habe... der Rest. Naja. Bringt einen nicht viel weiter, sagen wir es mal so. :P

    Ecki wrote:

    Also die üblichen verdächtigen, Domains werden wohl nicht mehr günstiger als 16ct pro Monat.

    RS wird wohl über 12 Monate laufen. Mal sehen was es an Sonderausstattungen bei den RS und VPS gibt.


    Eckhard

    Bin auch vor allem gespannt was es an VPS und RS Angeboten geben wird.

    HOSTING42 - Eine "Container as a Service" Plattform - Work in Progress - Tester gesucht

    Mehr auf www.hosting42.at | Anfragen gerne an office@hosting42.at

    Ich hoffe es gibt wieder Server mit monatlicher Kündigungsfrist. Das war einer meiner Gründe warum ich zu netcup gewechselt hatte. Flexibilität ist mir wichtiger als 2€ pro Monat Preisunterschied.

    ChestSort: Automatische Kistensortierung in Minecraft - www.chestsort.de


    binichblau: Online-Promillerechner - www.binichblau.de

    Ich muss irgendwie meinen akuten Speicherplatzmangel im Heimnetzwerk lösen. Wird wohl auf eine USB-HDD (1-2 TB) an irgendeinem Gerät hinauslaufen… :rolleyes:


    Ich muss irgendwann endlich mein langfristig geplantes Storagekonzept für 16-32 TB (exkl. RAID) umsetzen. Ich komme von einer Notlösung zur nächsten.