schokokeks.org

Hosting

Zurückgezogene Let's Encrypt-Zertifikate

Di, 3. Mär 2020 - 17:23, CC by-sa

Wie heute bekannt wurde muss die Zertifizierungsstelle Let's Encrypt drei Millionen Zertifikate zurückziehen, da bei der Ausstellung die Prüfung des CAA-Record nicht korrekt durchgeführt wurde.

 

Abschaltung von TLS 1.0 und 1.1

Mi, 19. Feb 2020 - 07:59, CC by-sa
Tags: 

Wir werden auf unseren Webservern einige sehr alte Versionen des TLS-Protokolls abschalten. Die Versionen TLS 1.0 und 1.1 unterstützen keine modernen kryptographischen Verfahren und sind daher für einige Sicherheitsprobleme wie beispielsweise Padding Oracles anfällig. Die Nachfolgeversion TLS 1.2 ist inzwischen seit 12 Jahren verfügbar.

 

Unterstützung für CAA-Records

Fr, 6. Okt 2017 - 15:00, CC by-sa

Ein neuer DNS-Record namens CAA (Certificate Authority Authorization) ermöglicht es, für Domains zu definieren, welche Zertifizierungsstellen dafür Zertifikate ausstellen dürfen. Seit kurzem sind Zertifizierungsstellen verpflichtet, CAA-Records zu prüfen.

Unser DNS-Interface unterstützt CAA schon seit einer Weile. Kunden können damit beispielsweise für ihre Domains festlegen, dass sie nur Zertifikate von Let's Encrypt nutzen möchten.

 

Neue Angriffe gegen TLS: DROWN und CacheBleed

Mi, 2. Mär 2016 - 00:40, CC by-sa

Zwei neue Angriffe gegen das TLS-Protokoll wurden gerade vorgestellt: DROWN und CacheBleed.

 

HTTPS für alle mit Let's Encrypt

Do, 3. Dez 2015 - 19:58, CC by-sa

Heute hat die Zertifizierungsstelle Let's Encrypt offiziell ihren Betrieb aufgenommen. Let's Encrypt hat das Ziel, die Nutzung von verschlüsselten HTTPS-Verbindungen einfacher zu machen und bietet kostenlose TLS-Zertifikate an.

Schon bisher war es für alle schokokeks.org-Kunden möglich, eigene Zertifikate zu nutzen und für Webseiten einzutragen. Zudem unterstützen wir auch schon seit einer Weile die HSTS-Technologie, um HTTPS-Verbindungen zusätzlich abzusichern.

 

Sicherheitslücke in OpenSSL

Di, 8. Apr 2014 - 11:59, CC by-sa

Wie gestern Abend bekannt wurde gab es in OpenSSL eine gravierende Sicherheitslücke, die von ihren Entdeckern Heartbleed genannt wird. Die Sicherheitslücke erlaubt das Auslesen des privaten Keys eines Servers, die Auswirkungen sind somit gravierend und betreffen einen Großteil der Infrastruktur im Internet. Betroffen sind alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f.

 

Abschied von CAcert

Di, 25. Mär 2014 - 14:43, CC by-sa

Als wir vor langer Zeit schokokeks.org gestartet hatten, hatten wir unsere Server mit SSL-Zertifikaten der Community-Zertifizierungsstelle CAcert ausgestattet. Wir werden CAcert-Zertifikate ab sofort nicht mehr einsetzen und wollen das kurz begründen.

 

Presseinformation: schokokeks.org setzt für SSL-Zertifikate auf SNI

Do, 3. Apr 2008 - 15:09, CC by-sa

Ein gängiges Problem von geschützten https-Verbindungen ist, dass üblicherweise pro IP-Adresse nur ein Zertifikat vergeben werden kann. Daher ist es bei den meisten Shared-Hosting-Angeboten nicht möglich, https-Verbindungen korrekt zu nutzen, da das zugehörige Zertifikat nicht passend ist.

Hierfür existiert die SSL-Erweiterung SNI (Server Name Indication), welche auf unterschiedlichen virtuellen Hosts unterschiedliche Zertifikate ermöglicht. SNI wird bereits von den gängigen Browsern (Firefox, Opera, IE ab version 7) unterstützt. schokokeks.org bietet als einer der ersten Shared-Hosting-Provider seinen Kunden SNI an.

schokokeks.org selbst setzt für seine Seiten Zertifikate der freien Zertifizierungsstelle CAcert.org ein, jedoch können unabhängig davon auch eigene, extern gekaufte Zertifikate eingesetzt werden.

Einige Hintergrundinformationen über SNI haben wir in unserem Wiki bereitgestellt:
https://wiki.schokokeks.org/SNI

 

Eigene SSL-Zertifikate für Kunden

Do, 25. Okt 2007 - 08:26, CC by-sa

Ein leidiges Problem mit https-Seiten ist, dass sie, zumindest bei Shared-Hosting-Umgebungen, meist mit falschen Zertifikaten ausgeliefert werden. Das Problem besteht darin, dass in der Vergangenheit eine IP lediglich ein Zertifikat ausliefern konnte.

Inzwischen gibt es eine Erweiterung des SSL/TLS-Standards mit dem Namen »Server Name Indication«, welche genau dieses Problem löst. Ab sofort bieten wir auf schokokeks.org an, dass Kunden über SNI eigene https/ssl-Zertifikate für ihre Domains nutzen können.

Clientseitig funktioniert dies bereits in den meisten Browsern. Firefox, Opera und IE unterstützen dies in der jeweils aktuellen Version, Konqueror wird ab KDE 4 dabei sein. Safari unterstützt im Moment SNI noch nicht.

Wir empfehlen weiterhin, Zertifikate von der freien Zertifizierungsstelle CAcert unterschreiben zu lassen, wir verteilen auch als Assurer Punkte für CAcert.

 
RSS - tls abonnieren