SSL

SSL-Zertifikat – Certificate Signing Request (CSR) erstellen

Das Web ohne Verschlüsselung ist heutzutage gar nicht mehr vorstellbar. Sie bildet die Grundlage für viele Tätigkeiten wie Onlinebanking oder dem Onlineshopping und geschieht über das Protokoll HTTPS.

Ohne Verschlüsselung könnten alle Eingaben und Aktivitäten von jedem, der an der Leitung lauscht, mitgeschnitten und mit wenig Aufwand manipuliert werden.

Zwar sind auch über HTTPS laufende Verbindungen nicht 100%ig sicher, aber wesentlich besser geschützt als ohne.

Für die Verbindung werden SSL-Zertifikate benötigt, die den Webserver zu der aufgerufenen Domain quasi authentifizieren. Dabei wird überprüft, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (= CA, z. B. Let’s Encrypt) ausgestellt wurde und zu der Domain passt. Im Hintergrund werden weitere Parameter ausgehandelt, wie beispielsweise den Verschlüsselungsalgorithmus, den sowohl der Browser als auch der Server sprechen.
Stimmt auch nur eines der Merkmale nicht, wird die Verbindung als nicht sicher markiert und dem Benutzer als solche kenntlich gemacht.

Zwar ist es heute ohne großen Aufwand möglich, sich ein kostenloses Zertifikat über die CA “Let’s Encrypt” ausstellen zu lassen. Jedoch besteht immer wieder die Notwendigkeit selbst ein Zertifikats-Request zu stellen und bei einer kostenpflichtigen oder in der eigenen Organisation bestehende CA einzureichen.

Hierbei gibt es mehrere Möglichkeiten ein solches CSR zu generieren (viele Wege führen nach Rom).
Einen davon möchte ich hier kurz mithilfe von “openssl” aufzeigen.

Weiterlesen

Microsoft IIS 7.5/8.X FTP Server – TLS Problem Fix

Jeder Betreiber eines Windows Servers ist mehr oder weniger auf die Sicherheit dessen bedacht. Nur wie steht es mit der Sicherheit für den Besucher? Meistens wird das unverschlüsselte HTTP verwendet, welches von jedem mitgelesen werden kann, aber der IIS-Webserver kann auch SSL und TLS 1.1/1.2. Letzteres muss jedoch erst in der Registry aktiviert werden und führt zu einem Problem mit dem integrierten FTP-Service und dem Client FileZilla.

Fordert man mit dem IIS nun eine verschlüsselte Verbindung an und überträgt Daten zum Server bricht er direkt nach der Übertragung mit der Antwort 550 ab.

IIS TLS Problem

Der Hohn: die Datei wurde bereits fertig übertragen, nur die Antwort des Clients passt dem Server nicht.
Ist dabei die Option zum Löschen unfertiger Dateien im IIS nicht abgeschalten, wird die fertige Datei daraufhin wieder gelöscht.

Dumm gelaufen… Nein nicht wirklich.

Dieses Problem ist auf vier Wegen lösbar:

  1. Man priorisiert den anfälligen SSL Chiffre “TLS_RSA_WITH_RC4_128_SHA”,
  2. man verwendet einen anderen FTP-Client,
  3. einen alternativen FTP-Server, oder…
  4. … installiert einen Hotfix von Microsoft

Weiterlesen