Was die Subdomain in Froxlor angeht: Da kann ich mangels Froxlor-Installation leider nur raten. Und als ich den Vorgänger SysCP noch verwendete, war SSL nie ein Thema 
MfG Christian
Ich dachte in die .pem gehört das Zertifikat welches ich im CCP bekomme?
Und danach meistens zusätzlich auch das Zwischenzertifikat der CA, da die Kette ansonsten unvollständig ist, wenn der Client nur das Root Cert der CA kennt! (Wie bereits von meinen Vorpostern erwähnt und in Deinem ersten Beitrag in der Fehlermeldung ersichtlich…)
Siehe: RapidSSL - Knowledge Center - SSL Certificates Support
MfG Christian
Das mit der "Akzeptanz" ist eh nur Geldmacherei.
Naja, das schon. Aber es war halt eine praktische Möglichkeit, damit man sich halbwegs sicher sein konnte, dass man mit dem richtigen Server verbunden ist, weil die CA es vorher überprüft. Dass genau das mittlerweile die große Schwachstelle ist, wissen wir ja bereits, wird sich aber leider nicht mehr so schnell ändern lassen… 
Theorethisch könnte ja hinter der Stelle auf die nsa oder die russenmafia sitzen immer "Sicher bla bla.... Sicher"
Die CA signiert Dein Zertifikat (anhand Deines CSR) nur. Letzten Endes basiert die Verschlüsselung auf ganz anderen Faktoren, siehe: Asymmetrisches Kryptosystem – Wikipedia
Und darauf hat die CA keinen Zugriff, solange Du Key/CSR selbst generierst und nicht irgendwo über ein Webformular. Zusammen mit PFS könnte Dir dann später sogar der private Schlüssel gestohlen werden, ohne dass vorherige Verbindungen entschlüsselt werden könnten.
MfG Christian
Also was der Hersteller ,von roundcube?, damit zu tun, ist mir nicht ganz klar.
Ich glaube damit war auch eher der Hersteller der Software gemeint, von dem die Software im Gesamtpaket integriert ist 
Das könnte jetzt z.B. die Linux Distribution oder auch die Verwaltungsoberfläche für die Kunden sein, wo es eventuell entsprechende Abhängigkeiten gibt. Ist nur spekuliert, da ich nicht einmal weiß, wie/wo Roundcube bei diesen Produkten integriert ist. Ich persönlich setze auf einigen Systemen z.B. noch immer die Version 0.7.2 ein, die noch älter ist. Einfach deshalb, weil das die stabile Version meiner Linux Distribution ist und ich mir dadurch ein manuelles Update erspare.
Ansonsten steht es Dir als schnelle Lösung frei, Roundcube einfach selbst auf Deinem Webspace zu installieren. Dann hast Du die jeweils neueste Version und kannst Sie auch vollständig anpassen, wie es Dir gefällt
MfG Christian
Du bekommst ein ganzes /64 Netz von netcup zugewiesen, das entspricht den ersten 4-Blöcken der Adresse, z.B: 2001:db8:dead:affe::/64
Die restlichen 64 Bit am Ende (eine IPv6 Adresse hat 128 Bit) bleiben Dir überlassen.
Du kannst Dir dort nun eine gewünschte IP aussuchen, z.B: 2001:db8:dead:affe::1
Das entspricht aufgelöst dann 2001:db8:dead:affe:0:0:0:1 (zur Veranschaulichung)
Die Adresse kann somit nicht belegt sein, da das ganze Netz Deinem Server gehört!
Ich würde Dir trotzdem zuerst einmal empfehlen, Dich mehr in die ganze Thematik einzulesen, bevor Du startest. Die Wikipedia-Artikel zu IPv6 und allen Randgebieten bieten dafür einen sehr guten Einstieg. Damit Du es dann auch sinnvoll nutzen und testen kannst, wirst Du zu Hause ebenfalls IPv6 brauchen. Falls Dein Internetanschluss noch nicht darüber verfügt, kann man z.B. mit Tunnellösungen wie SixXS nachhelfen.
Viel Spaß und hoffentlich bald willkommen im Netz der Zukunft
MfG Christian
auch wenn die zweite IPv4 nicht in der Ausgabe von ifconfig auftaucht, warum auch immer
ifconfig ist nur bedingt dafür geeignet, die IP-Adressen aufzulisten
ip -4 addr
ip -6 addrMfG Christian
Ich habe das jetzt mal schnell ausprobiert, unter einem frischen Debian Wheezy System. So funktioniert es bei mir einwandfrei:
auto lo eth0
iface lo inet loopback
iface eth0 inet static
address 37.120.177.***
netmask 255.255.252.0
gateway 37.120.176.1
post-up ip -4 addr add 46.38.230.***/32 dev eth0
pre-down ip -4 addr del 46.38.230.***/32 dev eth0
iface eth0 inet6 static
address 2a03:4000:6:****::1/64
gateway fe80::1
post-up ip -6 route add 2a03:4000:20:****::/64 dev lo
pre-down ip -6 route del 2a03:4000:20:****::/64 dev lo
post-up ip -6 addr add 2a03:4000:20:****::1/128 dev eth0 preferred_lft 0
pre-down ip -6 addr del 2a03:4000:20:****::1/128 dev eth0Der jeweils relevanteste Teil meiner IP-Adressen/Subnetze ist unkenntlich gemacht. Die Nullroute für das unbelegte /64-Netz kann man bei Bedarf auch wieder weglassen. Kurzer Neustart nach der Änderung und alles funktionierte. Der Vorteil an dieser Methode ist ja auch, dass man die post-up/pre-down Zeilen jederzeit selbst ausführen kann, wenn man die IP einem anderen System zuweist.
ping/ping6 von extern zum Server funktioniert auf die primären IP-Adressen und auch auf die Failover-IP-Adressen. Vom Server zu einem externen Ziel (wieder mit ping/ping6) funktionierte es ebenfalls. Die ausgehenden Adressen (Source Address) bleiben unangetastet, es werden immer die primären Adressen vom Server genutzt, Failover ist also standardmäßig nur für eingehende Verbindungen, außer du konfigurierst eine Anwendung entsprechend. Wenn das Bei Dir so nicht funktioniert, dann liegt der Fehler wahrscheinlich woanders.
MfG Christian
Wird vielleicht irgendein anderer Cronjob um die Zeit ausgeführt? Schau einmal in die Logs, ob Du generell um diese Uhrzeit etwas verdächtiges findest.
MfG Christian
Die Definition von zusätzlichen Adressen über ein Alias von eth0 ist in aktuellen Versionen von Debian eigentlich nicht mehr vorgesehen. Womöglich könnte es daran liegen.
Ich habe mir meine eigene IPv6-Failover Adresse leider noch nicht näher angesehen. Zusätzliche IP's werden normalerweise genauso geroutet, wie die primäre IP – auch als "Ziel IP" im VCP ersichtlich, wenn ich das richtig interpretiere. Also über den gleichen Gateway. Von daher sollte man sie einfach so aktivieren können:
iface eth0 inet6 static
address 2001:db8:affe::1/64
gateway fe80::1
# Nullroute für nicht verwendete Adressen
post-up ip -6 route add 2001:db8:1337::/64 dev lo
pre-down ip -6 route del 2001:db8:1337::/64 dev lo
# Die gewünschte(n) IP(s) aktivieren
post-up ip -6 addr add 2001:db8:1337::1/128 dev eth0 preferred_lft 0
pre-down ip -6 addr del 2001:db8:1337::1/128 dev eth0Das ist jetzt für das Failover-Szenario ungetestet! Funktioniert so aber problemlos bei anderen Systemen mit mehreren IPv6 Subnetzen/Adressen.
MfG Christian
Dann sagt doch gleich Traceroute...
Ein MTR ist kein Traceroute. Lies Dir den Wikipedia Artikel doch einfach einmal durch… 
Ein MTR ist fortlaufend und zeigt damit den Zustand über mehrere Minuten oder Stunden. Ein Traceroute ist nur eine Momentaufnahme der jeweiligen Sekunde.
MfG Christian
Temporäre Maßnahme für die nächsten Tage:
☑ Netzwerkkabel quer durch die Wohnung gelegt
☑ NAS und Backup-HDD in der Küche aufgebaut
☐ Sich selbst fragen, ob man eventuell spinnt
Ist aber ein "interessanter" Blickfang neben dem Toaster! 
Bin trotzdem froh, wenn das Ding dort wieder verschwindet…
Für einige (Backup) Szenarien ohne Hardlinks auch nicht uninteressant: GNU tar 1.28: 5.2 Using tar to Perform Incremental Dumps
Braucht keine spezielle Software und kann selbst händisch leicht rekonstruiert werden. Wollte es nur erwähnt haben, da man dieses Feature von Tar schnell übersieht.
MfG Christian
btw: Ein VPN als zusätzliche Barriere kann manchmal auch sehr nützlich sein, nicht nur für SSH! 
MfG Christian
Tolle und schnelle Reaktion, netcup. Bei der Servermenge ist das extrem gut abgelaufen!
Speichern bei uns einige Daten in einer Ramdisk da es doch wichtig ist das auf diesen Daten schnell zugegriffen werden kann. Dank dem doch abrupten Update sind nun Daten seit heute um 12 Uhr weg...
Dann hast Du etwas falsch gemacht. Die Server sind nicht abgestürzt, sie wurden ganz normal und sauber heruntergefahren. Was kann netcup dafür, wenn Du auf eine saubere Methode beim Shutdown vergisst?
Unabhängig davon ist es normalerweise gängige Praxis, dass man auch dazwischen den Datenbestand aus einer wichtigen Ramdisk sichert, z.B. mittels Crontab. Ansonsten können die Daten nicht so wichtig gewesen sein…
Komisch war allerdings, dass HTTP sofort erreichbar war, SSH aber erst einige Minuten später.
Der SSH-Daemon wird bei einer Standardinstallation vieler Distributionen erst ganz am Ende (nach allen anderen Diensten) gestartet, insofern: Völlig normal, wenn das System durch den Start ausgelastet ist
Wir reden nicht von 99.6% Verfügbarkeit oder 100%. In diesem Fall bedeutete, es das Netcup meine Webseite für 13 Stunden lahm legt und nachher sagt, es wäre mein Fehler wegen einer blöden variable im Confixx.
Rechne bitte einmal nach, wie viele Stunden Dein System ausfallen dürfte laut der garantierten Verfügbarkeit…
Und gleichzeitig ist Netcup nur unter Notsupport für 40€ die 15 Minuten erreichbar, heute der Support stundenlang überlastet.
Bitte genauer lesen, es wurde bereits mehrfach erklärt, dass diese Kosten nur anfallen, wenn es z.B. in Deinem Einflussbereich liegt und netcup somit keine Schuld trifft.
Ob die VENOM-Lücke innnerhalb von wenigen Stunden gefixt werden muss, wage ich zu bezweifeln.
Und bitte nochmals genauer lesen, da diese Lücke wirklich extrem kritisch ist/war. Provider die dabei nicht zeitnah handeln, kann man nur als fahrlässig einstufen. Insofern hat es netcup 100% richtig gemacht!
Das machen noch nicht mal die Cloud-Provider, bei denen es viel wichtiger wäre.
Ohne Deine Aussage zu verifizieren: Nur weil vor Jahren Millionen W-LANs ungeschützt oder mit WEP-Verschlüsselung liefen, wäre es auch keine gute Idee gewesen bei der Neueinrichtung auf die WPA(2) Verschlüsselung zu verzichten, weil die anderen es ja auch nicht machen, wo es viel wichtiger wäre.
So etwas muss geplant werden und nicht überhastet in der Nacht durchgeführt werden.
Wir kennen beide nicht die internen Abläufe bei netcup, aber aus den bisherigen Beiträgen lese ich zumindestens heraus, dass der Patch getestet wurde. Angekündigt wurde es auch. Was willst Du noch mehr planen?
Dir ist schon bewusst, dass sobald ein Patch öffentlich verfügbar ist, es nur noch eine Frage der Zeit ist, bis Exploits für die Lücke existieren. Die Auswirkungen davon, muss ich Dir hoffentlich nicht erklären…
Den Kunden muss eine Möglichkeit gegeben werden zu reagieren und der Support verfügbar sein nach der Umstellung.
Nochmals: Notfallsupport…
Und nicht einfach machen und dann schlafen gehen.
Selbst wenn es so gewesen ist (was ich nicht behaupte): Irgendwann muss jeder Mensch schlafen, das solltest Du aus eigener Erfahrung wissen 
Irgendwie finde ich es wirklich schade, dass manche die Dringlichkeit von solchen Wartungsarbeiten nicht einsehen. Da wird spät Abends bzw. in der Nacht und am Feiertag gearbeitet, um die Sicherheit für die Kunden weiterhin gewährleisten zu können, und dann meckern manche nur, dass es "sicher nicht so dringend" war. Da kann man nur leicht den Kopf schütteln und hoffen, dass die Mitarbeiter von netcup auch die positiven Reaktionen wahrnehmen, in denen ihre Arbeit gewürdigt wird. Von daher nochmals: GJ!
MfG Christian
HTTPD: Nginx v 1.6.2, empfohlene Version 1.9.0
v1.6.2 ist z.B. bei Debian die aktuellste Version in den Paketquellen, wieso sollte man da eine neuere einsetzen wollen, wenn es nicht sein muss?
MfG Christian
edit: *damn*, da war jemand schneller
Dafür hast Du die Sache mit dem CSR genau erklärt, das wollte ich bei mir gerade noch rein editieren
MfG Christian
Dafür braucht man kein teures Wildcard-Zertifikat. Und warum sollte man einzelne Subdomains nicht schützen können/wollen? Vielleicht will ich für shop.* eines, für blog.* aber keines…
Gleich vorweg: Zertifikate werden normalerweise fast immer für Subdomains erstellt. Häufiges Beispiel ist www.example.com, was auch nur eine Subdomain ist! Im Falle vom günstigen RapidSSL Zertifikat bekommt man bei dieser Methode example.com auch noch kostenlos dazu. Eine Registrierung für z.B. mein.owncloud.example.com ist problemlos möglich, zu beachten ist aber, dass das Zertifikat dann wirklich nur für exakt diese Subdomain gilt und NICHT für http://www.mein.owncloud.example.com oder owncloud.example.com!
Was auch noch erwähnt werden sollte: Für solche (privaten) Zwecke eignet sich eventuell auch ein kostenloses Zertifikat, wie es von manchen Zertifizierungsstellen angeboten wird. Ich nenne jetzt hier absichtlich keine Anbieter, da diese durch die ebenfalls verfügbaren kostenpflichtigen Angebote als Mitbewerber angesehen werden könnten. Eine Suche mit der Suchmaschine Deiner Wahl sollte weiter helfen.
MfG Christian
Meine Server im Internet werkeln zu 99% als eine Kombi aus: Nginx Webserver (inkl. diverser Scriptsprachen), Datenbankserver Master/Slave (MySQL/MariaDB & PostgreSQL) und Mailserver (Postfix/Dovecot). Soweit nichts besonderes, das was man halt typischerweise öffentlich braucht. Die exotischeren Dienste laufen zu Hause auf eigener Hardware und sind wesentlich breiter gestreut vom Einsatzzweck her.
Gameserver (früher sehr gerne Armagetron Advanced) habe ich aktuell aufgegeben, da mir der Aufwand im Moment zu hoch ist. Das können andere deutlich besser. Da muss man viel Zeit investieren können, wenn man nicht nur 0815-Kram anbieten möchte.
Achja: Und für OpenVPN wäre noch ein weiterer Verwendungszweck von 1-2 Serverchen…
MfG Christian
[…] damit ich gleich von Anfang an Debian 8 installieren kann.
Stimmt, den Grund gab es auch noch! Hätte man zwar auch umgehen können, aber jetzt ist es deutlich einfacher…
