Re: POP3S und HTTPS fuer Arme
Hans-Georg Bork <[EMAIL PROTECTED]> dixit: > On Sat, Dec 18, 2004 at 12:51:40PM +0100, Peter Blancke wrote: >> [...] >> Und das ist auch mein Problem; es geht um einen kleinen >> virtuellen Server bei vollmar.net, auf welchem drei Domains >> laufen. Da habe ich exakt eine IP. > > ich weiss jetzt gerade nicht exakt wie, aber ich meine mich zu > erinnern, dass apache requests je nach Name (HTTP_HOST) > weiterleiten kann auf einen anderen port und dort "lauert" dann > ein anderes Cert. Danke, dieser Idee werde ich einmal nachsteigen. Der Browser bekommt an dieser Stelle dann allerdings das zweite Zertifikat vor die Nase gehalten; wenn er daraufhin das erste weiter nicht beachtet und jetzt das zweite annimmt, waere das Problem teilgeloest. Ein neues Problem wuerde dann auftauchen: Eine Umleitung auf einen anderen Port scheitert bei meinen installierten Kundenservern fast ausnahmslos an Proxy- oder Firewalleinstellungen; ausser auf 80 und 443 geht fuer Browser dort nichts raus. > Evtl. musst Du aber auch einen "Verteilerservice" einrichten, der > die requests dann an apache mit dem passenden port weiterreicht Das muesste stunnel koennen; ich finde dazu nichts in der Doku. stunnel ist wohl nicht darauf programmiert, den Content der Anfrage zu untersuchen. Zumindest in meiner Version stunnel -d 443 -r localhost:80 arbeitet stunnel als reine Datendurchreiche mit der alleinigen Aufgabe der Verschluesselung. Hier waere das Design von stunnel zu erweitern oder -- wohl eher -- ein aehnlich arbeitendes Programm zu erstellen: Content der Anfrage sagt, ich moechte zu https://foo.bar.com, Umleitung erfolgt auf Port 10080, https://foo.sonstswas.com kommt dann nach 10081 usw. Auf den jeweiligen Ports lauschen dann die jeweiligen Apachen. Ich kenne da keine Software. Ausserdem sehe ich dann sofort einer Systemueberlastung entgegen, wenn da hunderte von Apache-Instanzen auf verschiedenen Ports lauschen. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Hallo Andreas, Andreas Hiltner, 17.12.2004 (d.m.y): > Du kannst das Zertifikat beim IE downloaden und installieren. > Danach wird nicht mehr gemeckert ;-) > Leider erlaubt Firefox meines Wissens das (noch?) nicht. Dafuer kannst Du dem Firefox aber (auf einfache Weise) sagen, dass er das Zertifikat akzeptieren soll... Gruss, Christian Schmidt -- Alkohol löst Zungen, aber keine Probleme. -- Werner Mitsch signature.asc Description: Digital signature
Re: POP3S und HTTPS fuer Arme
Moin, On Sat, Dec 18, 2004 at 12:51:40PM +0100, Peter Blancke wrote: > [...] > Und das ist auch mein Problem; es geht um einen kleinen virtuellen > Server bei vollmar.net, auf welchem drei Domains laufen. Da habe ich > exakt eine IP. ich weiss jetzt gerade nicht exakt wie, aber ich meine mich zu erinnern, dass apache requests je nach Name (HTTP_HOST) weiterleiten kann auf einen anderen port und dort "lauert" dann ein anderes Cert. Das Ganze steht glaube ich irgendwo in der Beschreibung zu mod_rewrite; schau da doch mal nach. Evtl. musst Du aber auch einen "Verteilerservice" einrichten, der die requests dann an apache mit dem passenden port weiterreicht ... Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Peter Blancke <[EMAIL PROTECTED]> wrote: > Auf dem Server gibt es nur eine IP, aber mehrere virtuelle Domainen. > Ich muss mir folglich einen Weg ueberlegen, dass der Apache > verschiedene Zertifikate bemueht, so dass die Beschwerde im IE > unterbleibt. Geht nicht. S° -- 142 Reasons, Why You Can't Find Your System Administrator 81. Emptying the bit buckets. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Martin Schmitz <[EMAIL PROTECTED]> dixit: > Peter Blancke schrieb: >> Daraus folgt, dass ein Server mit nur einer IP auch nur ein >> SSL-Zertifikat fuer https verwursten kann. > > Richtig. Allerdings kann ein Server durchaus mehrere IPs haben, ich > denke, genau das ist für diesen Anwendungsfall gängige Praxis. Und das ist auch mein Problem; es geht um einen kleinen virtuellen Server bei vollmar.net, auf welchem drei Domains laufen. Da habe ich exakt eine IP. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Peter Blancke schrieb: > Daraus folgt, dass ein Server mit nur einer IP auch nur ein > SSL-Zertifikat fuer https verwursten kann. Richtig. Allerdings kann ein Server durchaus mehrere IPs haben, ich denke, genau das ist für diesen Anwendungsfall gängige Praxis. > einen Import-Vorgang?. Der IE bemaengelt, dass der eingetragene > Server-Name mit dem aufgerufenen HTTP-Host nicht uebereinstimmt. Diese Warnung läßt sich auch nicht unterdrücken. Ich persönlich habe mich schon oft über das Design von SSL-Zertifikaten geärgert, man bekommt einfach unweigerlich drei Funktionen in einem: Verschlüsselung, Überprüfung des DNS-Namens, bzw. der IP, und Überprüfung, ob das Zertifikat von einer CA signiert ist. Auf der anderen Seite ist das schon verständlich: wenn ein Benutzer https:// in seinen Browser tippt, dann sollte er schon sicher sein können, daß es sich wirklich um eine gesicherte Verbindung mit dem richtigen Server handelt. Wie eine CA-Signatur von Verbrechern wie Verisign & Co allerdings ein Hinweis auf Vertrauenswürdigkeit sein kann, bleibt mir weiterhin ein Rätsel. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Andreas Hiltner <[EMAIL PROTECTED]> dixit: > In meinem VirtualHost habe ich die Einträge für mod_ssl drin und > ich dachte bisher, dass ich das für jeden VirtualHost individuell > überschreiben kann. > > Da ich aber nur ein Zertifikat habe und nur einen Host, kann ich > das leider nicht testen. Zu dem Thema habe ich mittlerweile eine Reihe brauchbare Beitraege im Newsnet gefunden. Demnach ist das SSL-Zertifikat -- verstaendlicherweise -- an die IP gebunden. Der Webclient baut ja auch zunaechst erst die verschluesselte Verbindung auf, bekommt dafuer das Zertifikat und dann stellt der Apache erst die angewaehlte Webseite zur Verfuegung. Daraus folgt, dass ein Server mit nur einer IP auch nur ein SSL-Zertifikat fuer https verwursten kann. Wildcard-Zertifikate scheinen entweder nicht zu existieren (ich meine zwar, das schon einmal gesehen zu haben), andererseits waeren solche auch nicht vertrauenswuerdig. > Wenn deine User allerdings das Zertifikat installieren und es als > vertrauenswürdig einstufen, meckert der IE auch nicht mehr, selbst > wenn es eine andere URL ist, mit der sich der Benutzer verbindet. > (Das ist zumindest mein letzter Kentnisstand) Das wiederum tut ein IE hier aber bei jedem Aufruf der Seite, auch wenn ich das Zertifikat eintragen liess. Oder missverstehe ich da einen Import-Vorgang?. Der IE bemaengelt, dass der eingetragene Server-Name mit dem aufgerufenen HTTP-Host nicht uebereinstimmt. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
In meinem VirtualHost habe ich die Einträge für mod_ssl drin und ich dachte bisher, dass ich das für jeden VirtualHost individuell überschreiben kann. Da ich aber nur ein Zertifikat habe und nur einen Host, kann ich das leider nicht testen. Wenn deine User allerdings das Zertifikat installieren und es als vertrauenswürdig einstufen, meckert der IE auch nicht mehr, selbst wenn es eine andere URL ist, mit der sich der Benutzer verbindet. (Das ist zumindest mein letzter Kentnisstand) Andreas Am Freitag, 17. Dezember 2004 12:31 schrieb Peter Wiersig: > On Fri, Dec 17, 2004 at 11:50:44AM +0100, Peter Blancke wrote: > > Auf dem Server gibt es nur eine IP, aber mehrere virtuelle Domainen. > > Dann geht auch nur ein SSL-Zertifikat. (Bzw. Ein Zertifikat je > IP/Port Kombination) > > Das liegt daran, das SSL ja eine Socket-Sicherung darstellt und > nicht erst auf der Applikation-Ebene der Netzanwendung greift, > wie das bei NameVirtualHosts der Fall ist. > > -- > Peter
Re: POP3S und HTTPS fuer Arme
On Fri, Dec 17, 2004 at 11:50:44AM +0100, Peter Blancke wrote: > > Auf dem Server gibt es nur eine IP, aber mehrere virtuelle Domainen. Dann geht auch nur ein SSL-Zertifikat. (Bzw. Ein Zertifikat je IP/Port Kombination) Das liegt daran, das SSL ja eine Socket-Sicherung darstellt und nicht erst auf der Applikation-Ebene der Netzanwendung greift, wie das bei NameVirtualHosts der Fall ist. -- Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Andreas Hiltner <[EMAIL PROTECTED]> dixit: Hallo Andreas, > Du kannst das Zertifikat beim IE downloaden und installieren. > Danach wird nicht mehr gemeckert ;-) Da stosse ich gleich auf die naechste Schwierigkeit: Auf dem Server gibt es nur eine IP, aber mehrere virtuelle Domainen. Die Installation des Zertifikats lokal im IE verlaeuft soweit erfolgreich, der IE beschwert sich nun aber bei jedem neuen Aufruf der Seite, dass der Name des Zertifikats ungueltig ist (gemeint ist die Angabe bei YOUR NAME, welche ich auf den tatsaechlichen Hostnamen des Servers festgelegt habe), da der Servername von der virtuellen Domain abweicht. Ich muss mir folglich einen Weg ueberlegen, dass der Apache verschiedene Zertifikate bemueht, so dass die Beschwerde im IE unterbleibt. Das scheint mir aber nicht mit stunnel zu gehen, da der Aufruf stunnel -d 443 -r localhost:80 ja zunaechst _vor_ der Auswahl des DocumentRoot durch den Apachen erfolgt. Ich vermute, dass ich zum stunnel.pem noch ein stunnel.cert erzeugen muss, welches dann fest in den jeweiligen Browsern installiert wird. Ich bin mir allerdings nicht sicher, ob das stimmt. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Du kannst das Zertifikat beim IE downloaden und installieren. Danach wird nicht mehr gemeckert ;-) Leider erlaubt Firefox meines Wissens das (noch?) nicht. Gruss, Andreas Am Freitag, 17. Dezember 2004 07:42 schrieb Peter Blancke: > Baltasar Cevc <[EMAIL PROTECTED]> dixit: > > An sich hast du mit der Methode nur einen kleinen > > Sicherheitsnachteil und einen praktischen -: > > - Sicherheitsmaessig koennte der DNS-Eintrag gefaelscht > > werden und deine Daten gehen - da sie nicht wirklich > > verifiziert werden - an jemand anderen. > > Die Problematik ist klar; die betroffenen Seiten sind derlei > unwichtig und kundenspezifisch, dass das Problem fuer $KUNDE und > mich nur ein geringes ist. > > > - der Praktische: du kriegst immer die nervige Warnung > > oder musst das Root-Zertifikat auf jedem Client > > installieren (damit waere uebrigens auch der Sicherheits- > > nachteil weg). > > Ja, das finde ich noch raus. Ich kenne einfach den IE auf Windows > nicht genuegend, nehme mir den heute aber mal vor; der Kunde fuehlt > sich genervt und sicherlich auch verunsichert, weil er bei jedem > Aufruf zur Zeit sagt, dass das nur ein "billiges" Zertifikat ist. > > Gruss > > Peter Blancke > > -- > Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Baltasar Cevc <[EMAIL PROTECTED]> dixit: > An sich hast du mit der Methode nur einen kleinen > Sicherheitsnachteil und einen praktischen -: > - Sicherheitsmaessig koennte der DNS-Eintrag gefaelscht > werden und deine Daten gehen - da sie nicht wirklich > verifiziert werden - an jemand anderen. Die Problematik ist klar; die betroffenen Seiten sind derlei unwichtig und kundenspezifisch, dass das Problem fuer $KUNDE und mich nur ein geringes ist. > - der Praktische: du kriegst immer die nervige Warnung > oder musst das Root-Zertifikat auf jedem Client > installieren (damit waere uebrigens auch der Sicherheits- > nachteil weg). Ja, das finde ich noch raus. Ich kenne einfach den IE auf Windows nicht genuegend, nehme mir den heute aber mal vor; der Kunde fuehlt sich genervt und sicherlich auch verunsichert, weil er bei jedem Aufruf zur Zeit sagt, dass das nur ein "billiges" Zertifikat ist. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Martin Schmitz <[EMAIL PROTECTED]> dixit: > Peter Blancke schrieb: >> Da das ganze ja nun doch gegenueber SSL-Zertifikaten sehr >> "preiswert" ist, moechte ich gerne zur Diskussion stellen, ob >> etwas dagegen spricht, so zu verfahren. > > SSL-Zertifikate sind genauso preiswert und genauso einfach > generiert. Prinzipiell schon; nichts anderes tut ja mein Verfahren, die diversen Browser melden ja auch brav, dass es selbst zertifiziert ist. Ehrlich gesagt bin ich bei der Einrichtung der eigenen Zertifizierungsstelle trotz diverser leicht verstaendlicher Texte gescheitert; ich werde dieserthalben moeglicherweise noch einen eigenen Thread hier eroeffnen. > Nur wenn Du sie von einer CA signiert haben möchtest, wird's > teuer. Sehr teuer, ja. > Ich sehe ehrlich gesagt keinen Vorteil in Deiner Methode. Sie war sehr einfach und schnell zu bewerkstelligen. Meine Frage implementierte auch herauszufinden, ob jemand davon berichten kann, dass stunnel in der beschriebenen Art und Weise Probleme gemacht hatte. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
Peter Blancke schrieb: > Da das ganze ja nun doch gegenueber SSL-Zertifikaten sehr > "preiswert" ist, moechte ich gerne zur Diskussion stellen, ob etwas > dagegen spricht, so zu verfahren. SSL-Zertifikate sind genauso preiswert und genauso einfach generiert. Nur wenn Du sie von einer CA signiert haben möchtest, wird's teuer. Ich sehe ehrlich gesagt keinen Vorteil in Deiner Methode. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: POP3S und HTTPS fuer Arme
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Peter, An sich hast du mit der Methode nur einen kleinen Sicherheitsnachteil und einen praktischen -: - - Sicherheitsmaessig koennte der DNS-Eintrag gefaelscht ~ werden und deine Daten gehen - da sie nicht wirklich ~ verifiziert werden - an jemand anderen. - - der Praktische: du kriegst immer die nervige Warnung ~ oder musst das Root-Zertifikat auf jedem Client ~ installieren (damit waere uebrigens auch der Sicherheits- ~ nachteil weg). Hoffe, das beantwortet deine Frage, liebe Gruesse Baltasar -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFBweUlp2YsmzTbIwYRAv2zAKCBzW8vPFTUMtl5OgVBqpXfptja1QCfUvcw JL3su+n6HnHcZ+1Tr/Kf93k= =X/tU -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
POP3S und HTTPS fuer Arme
Guten Abend! Fuer einen Server, der einfachen Anspruechen genuegt[tm], moechte ich aus Sicherheitsgruenden POP3 und HTTP durch POP3S und HTTPS abschaffen und habe mich dieserthalben mit stunnel beschaeftigt. Im Wesentlichen habe ich mich an die Anleitung auf http://www.stunnel.org/faq/certs.html#ToC2 gehalten, nach der dort beschriebenen Weise ein Zertifikat erstellt und installiert und danach zwei stunnel-Instanzen mit stunnel -d 995 -r localhost:110 stunnel -d 443 -r localhost:80 gestartet sowie Port 110 und Port 80 von der mit dem Internet verbundenen Ethernet-Schnittstelle genommen. Das ganze funktioniert auch. Es ist fuer mich eine geschuetzte Verbindung per SSL, so dass ich zunaechst das Klartext-Passwort-Problem vom Halse habe. Da das ganze ja nun doch gegenueber SSL-Zertifikaten sehr "preiswert" ist, moechte ich gerne zur Diskussion stellen, ob etwas dagegen spricht, so zu verfahren. Gruss Peter Blancke -- Hoc est enim verbum meum! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
