thomas-leister.de

Meine Erfahrungen mit dem Server-Hoster servercow.de

Kürzlich habe ich euch gefragt, welchen Hoster ihr mir empfehlen könnt. Meine Anforderungen waren:

KVM-Virtualisierung
100% Ökostrom
Kompetenter und schneller Support
Gute Verfügbarkeit
Mindestens 100 MBit/s Upstream
Gutes Preis- / Leitungsverhältnis
Flexible, individuelle Anpassung der Serverressourcen
Eigene Images nutzbar
Unternehmens- und Serverstandort Deutschland

In den Kommentaren zu dem Beitrag wurde mir unter anderem Servercow.de vorgeschlagen. Ich habe mich ein wenig auf der Webpräsenz des Unternehmens umgesehen und war ziemlich schnell interessiert. Alle meine Anforderungen waren erfüllt und ich habe mir zunächst einen Testserver bereitstellen lassen, den ich nun auch fest gebucht habe. Hier will ich euch von meinen ersten Eindrücken und Erfahrungen mit Servercow.de erzählen.

DANE und TLSA DNS-Records erklärt

DANE ist eine noch selten eingesetzte Technik, die Domainnamen mit einem oder mehreren TLS-/SSL-Zertifikaten verknüpft. Durch das DNS wird dem Client diktiert, welche Sicherheitszertifikate für eine Domain gültig sein sollen. Hintergrund ist, dass jede große, anerkannte CA der Welt (und davon gibt es hunderte) theoretisch für jede Domain gültige TLS-Zertifikate ausgeben kann. Dass das viel Spielraum für Manipulation und Missbrauch bietet, liegt auf der Hand. Indem man im DNS Informationen dazu ablegt, welche einzelnen Zertifikate oder Zertifizierungsstellen (CAs) für die Domain genutzt werden dürfen, kann man die Sicherheit signifikant verbessern. DANE muss zwingend mit DNSSEC kombiniert werden.

Let's Encrypt ACME Challenge Responses sammeln (Nginx)

Im Manual Mode des Let’s Encrypt Referenzclients muss jede Domain über eine individuelle Datei im Unterverzeichnis /.well-known/acme-challenge/ derselben Domain bestätigt werden. Bei vielen Domains bremst das Wechseln zwischen den Verzeichnissen und das erstellen der notwendigen Verzeichnisstruktur den Arbeitsablauf. Damit die Domains schneller bestätigt werden können, sammle ich alle ACME Responses in einem gemeinsamen Verzeichnis /var/www/acme-challenges/. Egal, welche Domain gerade bestätigt werden soll: Die Datei zur Bestätigung wird hier abgelegt und steht dennoch unter der gewohnten URL bereit. Und so geht’s:

Let's Encrypt Zertifikate mit HTTP Public Key Pinning (HPKP) und DANE

In mindestens zwei Anwendungsfällen ist die geringe Laufzeit von Let’s Encrypt Zertifikaten lästig: Bei der Nutzung von HPKP (Public Key Pinning) und DANE. Beide Verfahren sollen HTTPS-Verbindungen zusätzlich absichern, indem genau spezifiziert wird, welche TLS-Zertifikate für eine Domain gültig sein sollen. Da mindestens alle 90 Tage ein anderes Let’s Encrypt -Zertifikat eingerichtet werden muss, müssen in diesem Zyklus auch die HPKP- und DANE-Einstellungen mehr oder weniger aufwendig aktualisiert werden.

Der Aufwand lässt sich jedoch mit einem Trick reduzieren: Da beide Verfahren auf der Untersuchung des Public Keys im öffentlichen Zertifikat beruhen, kann man dafür sorgen, dass sich dieser bei der Umstellung auf ein neues Zertifikat nichts ändert. Man verwendet daher bei der Beantragung eines neuen LE-Zertifikats also keinen neuen Private Key, sondern einen alten. (Der Public Key basiert auf dem Private Key). Um einen alten Key nutzen zu können, muss der Referenzclient von Let’s Encrypt im Zusammenspiel mit einem eigenen, gleich bleibenden Private Key und einer eigenen Zertifikatsanfrage (CSR) verwendet werden.

Harman Kardon HKTS 210 Subwoofer pfeift

Mein Harman Kardon HKTS 16 Hifi Lautsprecher-Set beinhaltet einen HTKS210 Subwoofer, mit dem ich in letzter Zeit etwas Ärger hatte. Wenn der Subwoofer über den LFE-Kanal angeschlossen wurde und der Input-Schalter von “normal” auf “LFE” umgelegt wurde, begann der Subwoofer leise zu pfeifen. Nicht sehr hoch, nicht sehr laut, aber so, dass man extrem genervt wurde, wenn gerade keine Musik lief und der Subwoofer eingeschaltet war.

Meine erste Lösung war, den Subwoofer zwar über LFE angeschlossen zu lassen, aber den Input-Schalter auf “normal” gestellt zu lassen. Das Signal kommt trotzdem an, wird aber durch einen zusätzlichen Tiefpass geleitet, der eigentlich für den normalen Input gedacht ist (der das volle Frequenzspektrum an den Subwoofer gibt). Das hat soweit funktioniert. Der Tiefpass hat das Pfeifen herausgefiltert.