Tech-Nerds » zertifikate

Sicherheitslücke in wget

Marc — Wed, 02 Sep 2009 06:21:42 +0000

Nachdem die von Moxie Marlinspike entdeckte SSL-Sicherheitslücke in allen gängigen Browsern gepatcht wurde, hat nun Secunia eben diese Lücke auch in wget gefunden. Auch hier werden Teile von Domainnamen hinter einem Null-Zeichen ignoriert.

Ein Update von wget ist bisher nicht erschienen, soll aber in Arbeit sein.

SSL-Zertifikate bei vielen CA manipulierbar

Marc — Thu, 30 Jul 2009 13:47:34 +0000

Moxie Marlinspike hat in seinem Vortrag auf der Black Hat in Las Vegas eine Möglichkeit aufgezeigt, SSL-Zertifikate für beliebige Domains zu fälschen.

Viele Certificate Authorities lassen es demnach zu, vor dem gültigen Domainnamen das Null-Zeichen ‘\0′ und wiederum davor einen beliebigen anderen Doaminnamen zu setzen, welcher dann als Subdomain behandelt wird. Im genannten Beispiel mit Marlinspikes eigener Domain thoughtcrime.org sah das so aus: www.paypal.com\0.thoughtcrime.org

Das eigentliche, gefährliche Fehlverhalten zeigen nun alle verbreiteten Browser (mit Ausnahme des aktuellen Firefox 3.5). Diese interpretieren das Zeichen ‘\0′ als Stoppzeichen. Folglich wird das Zertifikat im o.g. Beispiel für die Domain www.paypal.com als gütig interpretiert.

Firefox 3.5 erkennt die so manipulierten Zertifikate als ungültig. Für den Internet Explorer soll ein Patch in Arbeit sein.

Apache2 mit mehreren SSL-VirtualHosts

Marc — Fri, 06 Feb 2009 16:05:09 +0000

Wer mehrere Domains auf einem Webserver betreibt, wird möglicherweise den Wunsch haben, hier verschiedene SSL-Zertifikate für die jeweiligen Domains zu installieren. Allerdings kann der Server erst nach dem SSL-Handshake entscheiden, welchen Host der Browser angefragt hat.

Abhilfe schafft das die TSL-Erweiterung SNI (Server Name Indication). Unterstützt wird diese doch recht sinnvolle Neuerung aber bisher nur von gnutls. Die Installation auf einem Debian-Server wird hier kurz beschrieben und sollte auch auf anderen Systemen mit geringen Anpassungen machbar sein.

Als Allererstes steht die Installation des Pakets apache2-threaded-dev auf dem Programm (sofern noch nicht geschehen). Dann wird die aktuelle gnutls-Version benötigt. Und zwar von gnu.org. Herunterladen, entpacken, konfigurieren, kompilieren, installieren kennt man ja. Dann benötigen div. Systeme noch einen Aufruf von ldconfig. Anschließend kann dann bereits das Apache-Modul heruntergeladen und installiert werden. Zu bekommen ist es hier.
Die Installationsprozedur verläft hier auch unspektakulär normal. Ich musste configure allerdings den Pfad von apxs2 mitgeben:
./configure --with.apxs2=/usr/bin/apxs2

make install
kopiert das Apache-Modul dann (hoffentlich) an die richtige Stelle. In diesem Fall /usr/lib/apache2/modules

Die Datei /etc/apache2/mods-enabled/gnutls.load wird nun mit folgendem Inhalt erstellt: LoadModule gnutls_module /usr/lib/apache2/modules/mod_gnutls.so
Und auch die Datei /etc/apache2/mods-enabled/gnutls.conf muss erstellt werden. Sie sollte Folgendes enthalten:
GnuTLSCache dbm /var/cache/mod_gnutls_cache GnuTLSCacheTimeout 300

Natürlich müssen die virtuellen Hosts noch angepasst werden. Jeder vHost, der SSL verwenden soll, benötigt folgende Zeilen:
ServerName www.example.de GnuTLSEnable on GnuTLSPriorities NORMAL GnuTLSCertificateFile /etc/certs/example_server.pem GnuTLSKeyFile /etc/certs/example_key.pem DocumentRoot "/var/www/example.de" ...


Die möglicherweise bisher vorhandenen Zeilen, beginnend mit SSL, müssen selbstverständlich den neuen Angaben weichen.
Achtung: Die VirtualHosts-Direktiven müssen mit IP-Adresse definiert werden. Ggf. werden also für ein DocumentRoot 2 Einträge erstellt, beispielsweise bei paralleler Verwendung von IPv4 & IPv6.



SSL-Zertifikate in Symbian
Marc — Mon, 08 Dec 2008 23:48:06 +0000
Die Aktualisierung meiner SSL-Zertifikate auf dem Mailserver stand an. Mithilfe von CAcert war dies auch schnell erledigt.
Zu besagtem Anbieter lassen sich im Internet eigentlich alle notwendigen Informationen finden, darum gehe ich hier nicht weiter auf die Prozedur ein.
Eher wenige Informationen finden sich dagegen zum Import von Root-Zertifikaten auf Geräten mit Symbian-Betriebssystem. Dies ist nämlich nicht so ohne Weiteres machbar, wie ich feststellen musste. Und die CAcert Root-Zertifikate sind, wie auf den meisten anderen Systemen auch, nicht von vornherein enthalten. Somit erhält man bei jedem Verbinden mit dem Server eine Warnmeldung, die eine manuelle Bestätigung erfordert. Und das nervt auf Dauer wirklich.
Ein Download des Root-Zertifikats, in jeglichen zur Verfügung stehenden Formaten, mit anschließender Installation per Browser funktioniert jedenfalls nicht. Und dies ist auch unabhängig vom verwendeten Browser. Meine Hoffnung stützte sich zunächst auf den standardmäßig mitgebrachten Browser meines Nokia E65. Hier schlug der Import des Zertfikats aber genau so fehlt, wie mit Opera oder Skyfire. Das Gerät behauptete, obwohl offensichtlich unwahr, das Zertifikat wäre ungültig.
Die Lösung war allerdings einfacher, als man nun annehmen sollte. Das Zertifikat muss im DER-Format einfach im Telefonspeicher oder – Präsenz vorausgesetzt – der Speicherkarte abgelegt werden. Schon hierfür wird allerdings ein Alternativbrowser benötigt, da der Standardbrowser die Option, Daten einfach nur zu speichern, nicht kennt.
Mit dem Dateimanager (Office -> Dateimanager) kann man dann die abgelegte Datei öffnen; danach wird das Root-Zertifikat installiert. Nachfolgend akzeptieren alle Anwendungen dieses Zertifikat und Verbindungen zum Server werden ohne Notwendigkeit weiterer Interaktion hergestellt.