In mindestens zwei Anwendungsfällen ist die geringe Laufzeit von Let’s Encrypt Zertifikaten lästig: Bei der Nutzung von HPKP (Public Key Pinning) und DANE. Beide Verfahren sollen HTTPS-Verbindungen zusätzlich absichern, indem genau spezifiziert wird, welche TLS-Zertifikate für eine Domain gültig sein sollen. Da mindestens alle 90 Tage ein anderes Let’s Encrypt -Zertifikat eingerichtet werden muss, müssen in diesem Zyklus auch die HPKP- und DANE-Einstellungen mehr oder weniger aufwendig aktualisiert werden.
Der Aufwand lässt sich jedoch mit einem Trick reduzieren: Da beide Verfahren auf der Untersuchung des Public Keys im öffentlichen Zertifikat beruhen, kann man dafür sorgen, dass sich dieser bei der Umstellung auf ein neues Zertifikat nichts ändert.
Mein Harman Kardon HKTS 16 Hifi Lautsprecher-Set beinhaltet einen HTKS210 Subwoofer, mit dem ich in letzter Zeit etwas Ärger hatte. Wenn der Subwoofer über den LFE-Kanal angeschlossen wurde und der Input-Schalter von “normal” auf “LFE” umgelegt wurde, begann der Subwoofer leise zu pfeifen. Nicht sehr hoch, nicht sehr laut, aber so, dass man extrem genervt wurde, wenn gerade keine Musik lief und der Subwoofer eingeschaltet war.
Meine erste Lösung war, den Subwoofer zwar über LFE angeschlossen zu lassen, aber den Input-Schalter auf “normal” gestellt zu lassen.
Kaum einer meiner Server läuft nur mit einer einzigen Anwendung. Der Webserver, auf dem dieser Blog läuft, beherbergt nicht nur thomas-leister.de, sondern auch noch zwei andere Blogs und weitere PHP-basierte Webdienste, die ich zur Verfügung stelle. Aus Sicht eines Hackers ein lohnenswertes Ziel: Wird über eine PHP-Anwendung wie z.B. einen schlecht gepflegten Wordpress-Blog Zugriff auf das Dateisystem des Servers erlangt, kann der Hacker nicht nur die unsichere Webapplikation angreifen, sondern auch alle anderen Anwendungen, die unter dem PHP-User laufen.
Das Let’s Encrypt Projekt (hinter dem unter anderem Mozilla, Facebook und Cisco als Sponsoren stecken) ist gestern in den Public Beta Betrieb übergegangen. Von nun an können nach belieben kostenlose TLS (aka SSL)-Zertifikate für die eigenen Domains erstellt werden. Für den Erhalt eines Zertifikats sind nur wenige, einfache Schritte erforderlich, die ich im Folgenden erkläre:
Let’s Encrypt nutzt ein Protokoll namens “ACME” zur Kommunikation mit den CA-Servern. Ich habe den Referenz-ACME-Client “Certbot” von LE genutzt - um den soll es hier gehen.
Wie ihr vielleicht schon durch diesen Blog mitbekommen habt, war ich kürzlich auf der Suche nach einem neuen Provider für meine Domains. Mein bisheriger Domain-Hoster Hetzner bietet noch kein DNSSEC an, sodass ich mich nach einer Alternative umgesehen habe und zunächst auf das Unternehmen OVH aus Frankreich gestoßen bin. OVH hat allerdings beim Support ganz klar versagt und auch sonst konnten die Leistungen von OVH nicht überzeugen, sodass ich nach nur wenigen Stunden bei OVH erneut auf der Suche nach einem Hoster war, der mir DNSSEC anbietet.