[sui.cid.us]

Moinzen, ich hab ja hier mein eigenes Webserverchen mit Apache2 etc
Jetzt versuch ich schon seit Tagen, SSL mit nem Virtuellen Host zu aktivieren, was aber einfach nicht klappen will. Die eigentlich Frage:

Wenn jetzt jemand was über SSL auf den Server lädt, meinetwegen ne ganz illegale MP3, kann die Verbindung abgehört werden. Also kann mein Provider oder wat auch immer erkennen, das da ne MP3 rumgeschoben wird?

[Toady]

Zitat:

Zitat von suicidus 

Wenn jetzt jemand was über SSL auf den Server lädt, meinetwegen ne ganz illegale MP3, kann die Verbindung abgehört werden. Also kann mein Provider oder wat auch immer erkennen, das da ne MP3 rumgeschoben wird?

Nein, solange du die Zertifikate sicher verifizieren kannst (beide Seiten müssen das jeweils andere Zertifikat kennen).
Kennt eine Seite das Zertifikat nicht, so sind Man-in-the-middle-Angriffe denkbar.

In dem Fall hilft es auch nicht, wenn TrustCenter das Zertifikat ausgestellt haben, solange du dem TrustCenter nicht vertraut, und *ich* würde in einem solchen fall VerySlime zB nicht vertrauen - ist aber sicher eine Frage des persönlichen Paranoia-Levels

[sui.cid.us]

Die Zertifikate werden ja automatisch ausgestellt wenn Heinz Hampel zum Server connected und die Datei hochladen will. Und solange ein Dritter keins von den Zertifikaten hat, ist die Leitung "relativ" sicher? Hab ich das jetzt verstanden?

[Toady]

Zitat:

Zitat von suicidus 

Die Zertifikate werden ja automatisch ausgestellt wenn Heinz Hampel zum Server connected und die Datei hochladen will.

Wie willst du das denn machen? Normalerweise erstellt man Zertifikate und gibt den Pfad zu den beiden Zertifikaten dem Webserver bekannt.

Dein Weg ist mir neu, Apache kann das auch nicht, sehe auch keinen Sinn darin, wenn beim Zugriff ersteinmal openssl gestartet wird und ein Zertifikat erzeugt wird - welchen Nutzen hat das, und vorallem, wie will ich denn jetzt als Client noch erkennen können, dass ich mit dem Host spreche, den ich erreichen will?

Zitat:

Und solange ein Dritter keins von den Zertifikaten hat, ist die Leitung "relativ" sicher? Hab ich das jetzt verstanden?

Nö. Du gibst den öffentlichen Teil deines Zertifikates weiter an den Client, dieser importiert das und kann nun schonmal immer verifizieren, dass er mit dir spricht. Nun stellst du dem Client noch ein Clientzertifikat aus und gibst ihm auch dieses - das installiert er ebenfalls, und nun kannst du auch den Client sicher identifizieren.

Wie wärs, wenn du dich ersteinmal ein bisschen in OpenSSL einliest?

[sui.cid.us]

Ich glaub ich bin grad zu br*it, aber danke

Versuch jetzt nochmal das Ding zum laufen zu kriegen, läuft ja, nur Port 443 soll immer belegt sein.

[Toady]

Hi!

Dann lese beizeiten mal
http://de.wikipedia.org/wiki/Secure_Sockets_Layer

Auf apache.org findest du TLS/SSL auch nochmal super ausführlich erklärt:
http://httpd.apache.org/docs/2.0/ssl/

Wenn es sicher aufgezogen ist kann man den Datenverkehr nimmer belauschen; man sieht dann zwar, dass Daten übertragen werden, kann aber nix damit anfangen.

[ClemensBW]

danke

[cuhformation]

Hallo,

wo wir gerade mal wieder bei SSL wären.

Ich habe unter WinXP den Apache 2 als Testserver laufen.
Im Netz konnte ich eine brauchbare SSL-Einbauanleitung für den Server finden.
Das Zertifikat hatte ich mit OpenSSL kreiert.

In der ssl.conf sind nun folgende Daten:

Code:

SSLMutex default
SSLRandomSeed startup builtin
SSLSessionCache none

# Port
Listen 443
NameVirtualHost *:443

<VirtualHost *:443>
  ServerName secure.blablabla.ath.cx
  SSLEngine On
  SSLCertificateFile conf/ssl.crt/secure.blablabla.ath.cx.crt
  SSLCertificateKeyFile conf/ssl.key/secure.blablabla.ath.cx.key
  DocumentRoot /www/docs/blablabla/public_html
  ErrorLog "/www/docs/secure/logfiles/www-error.log"
  CustomLog /www/docs/secure/logfiles/www-access.log common
</VirtualHost>

Wie sicher wären die vorgenommenen Eintragungen ?
Müsste was geändert/hinzugefügt werden ?

Reicht die Verbindung vom Server zum Klienten und umgedreht ?
Benötigt man ggf. ein Klientzertifikat
damit Apache den überprüfen kann
und wie müsste das ggf. aussehen ?

Ich hatte mit Ethernal mal mitgesnifft
und ich konnte bisher nicht erkennen,
dass die Verbindung unverschlüsselt wäre.

Tut mir leid für die vielen Fragen.

Vielen Dank

[natbornkiller]

Dein Provider kann jederzeit nachsehen, was Du auf Deinem Server geparkt hast, dazu braucht er sich nicht die Mühe zu machen, packete zu sniffen.
Auch davon wird er wohl nur Gebrauch machen, wenn Du plötzlich ein sehr hohes Transfervolumen hast oder er anderweitig darauf aufmerksam gemacht wurde.

Dort wo Passwörter Übertragen werden, ist eine Verschlüsselung sinnvoll, aber bei Dateien reicht es doch durchaus aus, winrar mit Verschlüsselung und langem Passwort ( auch Dateinamen verschlüsseln) einzusetzen.
mfGr

[cuhformation]

Hallo,

es ist ein Lokaler Test-Webserver
Meine Frage war, ob es sicher genug wäre
da man sowas schon Wissen sollte.

Ist die Config soweit in Ordung ?
Kann man irgendwie selbsterstellte Klientzertifikate anfertigen
mit dem der Apache was anfangen kann ?

Gäbe es eine Möglichkeit mit openSSL oder Kompatibel
ein anderes, selbsterstelltes Zertifikat
mit einem selbsterstellten Zertifikat zu unterschreiben ?
z.B.

Code:

 Mein Name oder Donäne
   
 secure.xxx.ath.cx

Vielen Dank

[Toady]

Zitat:

Zitat von natbornkiller 

Dein Provider kann jederzeit nachsehen, was Du auf Deinem Server geparkt hast, dazu braucht er sich nicht die Mühe zu machen, packete zu sniffen.

Wie willst du das denn als Provider machen?
SSL mit selbstunterschriebenen Zertifikaten geht eh nur bei dedizierten Hosts (naja, und bei vServern, aber wer nutzt schon sowas?).
Theoretisch könnte er draufschauen, ja, aber dann müsste er die Kiste runterfahren, hineinchrooten, und die /etc/shadow löschen, oder den eigenen PublicKey dem SSHd geben. Man würde es in jedem Fall bemerken, wenn man das System vernünftig aufgesetzt hat.

Dürfen darf es er allerdings nicht; das wäre so, als wenn dein Vermieter unangemeldet einfach einen Nachschlüssel macht und sich in deiner Wohnung umsieht.

Zitat:

Auch davon wird er wohl nur Gebrauch machen, wenn Du plötzlich ein sehr hohes Transfervolumen hast oder er anderweitig darauf aufmerksam gemacht wurde.

Nie - jedenfalls nicht, wenn er sich keine dicke Zivilklage einhandeln will.
Wenn dein Filesystem dann noch gecryptet ist kann er dir eh genau gar nichts nachweisen, du kannst also auch mit völlig ruhigem Gewissen Klage einreichen.

Zitat:

Dort wo Passwörter Übertragen werden, ist eine Verschlüsselung sinnvoll, aber bei Dateien reicht es doch durchaus aus, winrar mit Verschlüsselung und langem Passwort ( auch Dateinamen verschlüsseln) einzusetzen.

Klar, aber es ist so ebenso sicher - du kannst keinesfalls sehen, was dort übertragen wurde.

Zitat:

Zitat von cuhformation 

Meine Frage war, ob es sicher genug wäre
da man sowas schon Wissen sollte.

Ja, ist es. Selbst wenn man den Datenstrom mitsniffen würde könnte man nicht sehen, was dort übertragen wird (so man Man-in-the-middle ausschließen kann, s.o.).

Zitat:

Kann man irgendwie selbsterstellte Klientzertifikate anfertigen
mit dem der Apache was anfangen kann ?

Ja - siehe obiger Link zu Apache und SSL.
Das ist ein gängiges Authentifizierungsverfahren.

Zitat:

Gäbe es eine Möglichkeit mit openSSL oder Kompatibel
ein anderes, selbsterstelltes Zertifikat
mit einem selbsterstellten Zertifikat zu unterschreiben ?

Klar, du musst die Zertifikate eh mit dem CA-Zertifikat unterschreiben - lese am besten mal obige Doku und die obige Einführung in SSL und TLS

[natbornkiller]

Das mit der Zivilklage ist zwar nett, aber i.d.R. bemerkt die Allgemeinheit, wenig davon, ob ein provider sich auf dem server umgesehen hat(ja man kann es sehen, aber wer sucht schon danach), wenn er nichts findet ok, aber wenn Du dann rips vorliegen hast, wirst du auch von einer klage absehen.

Das ist auch keine Hypothese von mir, sondern tatsächlich vorgekommen.
mfGr

[Toady]

Zitat:

Zitat von natbornkiller 

Das mit der Zivilklage ist zwar nett, aber i.d.R. bemerkt die Allgemeinheit, wenig davon, ob ein provider sich auf dem server umgesehen hat

Das halte ich für ein Gerücht, denn der Provider müsste das Rootpasswort zurücksetzen, was zwar kein Problem ist, wenn du physischen Zugang zu der Kiste hast, aber auch der dümmste Kunde merkt, wenn "sein Passwort nimmer funzt".

Davon ab - sogar wirklich idiotensichere tools wie logcheck würdest du so kaum umgehen können, ebenfalls reicht im allgemeinen ein grober Blick über die $HOME/.bash_history.

Ja, all das kann man auch umgehen, aber keinesfalls mit vernünftigem Aufwand; das ist nicht "mal eben nebenbei" getan.

Das klappt bei Webhosting-Angeboten, keine Frage, bei dedizierten Servern ist das schon ein bisschen kniffliger, wenn der Kunde auch nur halbwegs vernünftig an die Sache rangeht (Strato zB aktiviert per default logcheck, damit würde sich Strato schon selbst ins Knie schießen, wenn sie schnüffeln wollten).

Dann mal ganz allgemein:
Ich müsste als ISP doch auf nem Baum geboren sein, wenn ich da tatsächlich nachschauen würde. Wären dort illegale Dinge und ich würde sie entdecken wäre ich zum handeln *verpflichtet*, wenn ich nix davon weiß bin ich in keinster Weise mitschuldig, sondern der Kunde trägt das volle Risiko.

Will ich nachschauen, ob der Kunde sich an die AGB hält (zB kein Pr0n auf der Kiste) rufe ich einfach den URL auf, der so viel Traffic verursacht hat.

[cuhformation]

Hallo,

ich habe zwar jetzt ein CA erstellt
aber ich komme irgendwie nicht weiter

Root Zertifikat:
[openssl in Konsole]

Code:

genrsa -des3 -out _cert/server.key 1024
Passwort
req -new -x509 -nodes -sha1 -days 8395 -key _cert/server.key -out _cert/server.crt

Wie bekommt man z.B. das der Name "Angezeigter Name"
bzw. noch weitere Sachen erscheinen ?

Wie kann man andere selbsterstellte Zertifikate unterschreiben ?

Vielen Dank