Beiträge getagged mit certificate

Heartbleed SSL Bug

Heartbleed SSL Bug

In der viel benutzten SSL Library OpenSSL 1.0.1f war seit 2 Jahren ein Programmierfehler, welcher es erlaubt auf einem SSL Server 64kbyte aus dem Speicher auszulesen. Die Daten konnten User und Passwörter enthalten oder, in seltenen Fällen, den Private Key des Servers.

Wie schützt man sich:
– OpenSSL aktualisieren (z.B. yum update openssl)
– Alle Services, welche OpenSSL verwenden, neu starten
– Altes Zertifikat zurück ziehen lassen (das alte Zertifikat muss auf die CRL, Certificate Revocation List damit der Browser es nicht mehr akzeptiert)
– Neues Zertifikat anfordern mit neuem Private Key (Einige Anbieter wie Verisign machen die kostenlos)
– PFS Forward Secrecy aktivieren (ansonsten könnten alte, aufgezeichnete SSL Daten weiterverwendet werden)

Viele sichere Seiten waren anfällig und haben die Schritte befolgt. Leider habe auch einige nur die ersten zwei Schritte ausgeführt. Dies schützt zwar vor neuem Auslesen des Speichers. Wenn aber jemand den Private-Key ausgelesen hat, kann er mit einer Phishing Seite immer noch Schaden anrichten.

Alle Windows Server mit IIS sind nicht betroffen, da Microsoft eine eigene SSL Implementierung (SChannel) benutzt und nie auf OpenSSL zurück griff.

Gute Infos zum Heartbleed Bug auch auf: http://www.golem.de/news/openssl-wichtige-fragen-und-antworten-zu-heartbleed-1404-105740.html

Dies ist allerdings nicht die erste Lücke im ganzen SSL Prozess. Deshalb sollten alte Protokolle und Ciphers deaktiviert werden.
SSL Labs hat eine Testseite für Server eingerichtet. https://www.ssllabs.com/ssltest/analyze.html
Hier sollten einfache SSL Seiten auf ein „A-“ kommen. Shops, Kreditkartentransaktionen und Banking-Seiten sollten sicher mit „A“ bewertet werden.

Eine sehr gute Anleitung wie man dies unser Windows Server 2008 R2 macht findet sich hier: http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

Mehr Infos zu SSL/TLS: http://www.msxfaq.de/signcrypt/tlssecurity.htm

, , , , , , , ,

Keine Kommentare

SSL Zertifikate für Courier IMAP und POP3

Um die Verbindungen auf IMAP und POP3 Server zu verschlüsseln müssen Zertifikate installiert werden und danach die Verbindungen zu POP3s (Port 995) und IMAPs gewechselt werden.

Zertifikate erstellen

/etc/courier-imap/imapd.cnf    und   /etc/courier-imap/pop3d.cnf    editieren.  (Land, Kanton, Organisation)

danach die bestehenden Zertifikate löschen/umbenennen
mv /usr/share/courier-imap/pop3d.pem /usr/share/courier-imap/pop3d.pem.orig
mv /usr/share/courier-imap/imapd.pem /usr/share/courier-imap/imapd.pem.orig

Die beiden neuen Zertifikate erstellt man mit:
# /usr/share/courier-imap/mkpop3dcert
# /usr/share/courier-imap/mkimapdcert

Jetz muss nur noch der Dienst neu gestartet werden:

# /etc/rc.d/init.d/courier-imap restart
Stopping Courier-IMAP server:
Stopping imap         [  OK  ]
Stopping imap-ssl     [  OK  ]
Stopping pop3         [  OK  ]
Stopping pop3-ssl     [  OK  ]

Starting Courier-IMAP server:
Starting imapd        [  OK  ]
Starting imap-ssl     [  OK  ]
Starting pop3         [  OK  ]
Starting pop3-ssl     [  OK  ]

Siehe auch: http://www.digitalmurph.com/wordpress/?p=16

, , , , ,

Keine Kommentare

SSL Zertifikat von einem Server auf einen anderen transferieren

Zum verschieben/kopieren eines Zertifikates (inkl. Private Key) auf einen anderen Server bitte wie folgt vorgehen:
Create an MMC Snap-in for Managing Certificates:

1. Go to Start > Run.
2. Type in „mmc“.
3. Click „OK“.
4. From the menu bar, select Console > Add/Remove Snap-in.
5. Click „Add“.
6. Select „Certificates“ from the list of snap-ins.
7. Click „Add“.
8. Select „Computer account“.
9. Click „Next“.
10. Select „Local computer (the computer this console is running on)“.
11. Click „Finish“.
12. Click „Close“ on the snap-in list window.
13. Click „OK“ on the „Add/Remove Snap-in“ window.

Export the certificate (with Private Key):

1. In the left pane, click on „Certificates“.
2. From the right pane, click on „Personal“.
3. Click on „Certificates“.
4. Right-click on the certificate.
5. Select All Tasks > Export.
6. After the Certificate Export Wizard starts, click „Next“.
7. On the „Export Private Key page“, click „Yes, export the private key“, and then click „Next“.
8. On the „Export File Format“ page, select „Include all certificates in the certification path if possible“ and do not select the „require strong encryption“ check box, and then click „Next“.
9. Choose a password to protect the .PFX file. You will need to enter the same password twice to ensure that the password is typed correctly.
10. Click „Next“.
11. Choose the file name you want to save this as. Do not include an extension in your file name; the wizard will automatically add the .PFX extension for you.
12. Click „Next“, and then read the summary. Pay special attention to where the file is being saved to. If you are sure the information is correct, choose „Finish“.
You now have a .PFX file containing you server certificate and its corresponding private key. Please backup this file. You may want to move it to a floppy disk . Keep in mind, if you run a backup on the server, this file may be saved in that backup if it is still on the server.

Import the certificate (with private key):

After the certificate has been exported, you must import the certificate to the new computer’s Personal certificate store. To import the certificate to the computer’s Personal certificate store:

1. Perform the steps to create a MMC Snap-in for Managing Certificates outlined above.
2. In the left pane, click on „Certificates“.
3. From the right pane, click on „Personal“.
4. Click on „Certificates“.
5. Right-click on the certificate.
6. Select All Tasks > Import.
7. When the Certificate Import Wizard starts, click „Next“.
8. On the „File to Import“ page, type the complete path to the file or click the „Browse“ button to navigate to the file name of the certificate you exported, and click „Next“.
9. Enter the password you gave the .PFX file when you created it. Be sure the „Mark the key as exportable“ option is selected if you want to be able to export the key pair again from this computer.
10. On the „Certificate Store“ page, click „Place all certificates in the following store“, confirm that „Personal“ is selected as the store, and then click „Next“.
11. On the „Completing the Certificate Import Wizard“ page, click „Finish“.
12. Click „OK“.

Assign the certificate to your Web site:

1. Open the Internet Services Manager (Start > Programs > Administrative Tools)
2. Right-click on the Web site you want to install the certificate on.
3. Select „Properties“.
4. Click the „Directory Security“ tab.
5. Under the „Secure Communications“ section, click „Server Certificate“.
6. This will start the Web Site Certificate Wizard. Click „Next“.
7. Choose the “ replace the current certificate“ option and click „Next“.
8. Highlight your Web server certificate (denoted by the common name), and then click „Next“.
9. You will now see a summary screen showing you all the details about the certificate you are installing. Be sure that this information is correct or you may have problems using SSL or TLS in HTTP communications.
10. Click Next, and then click OK to exit the wizard.

Note: Under the „Web Site“ tab, make sure that the secure port 443 is enabled and that an IP address has been assigned.

The Microsoft articles for the above instructions can be found at the following URLs:

To Export: http://support.microsoft.com/default.aspx?scid=kb;EN-US;232136
To Import: http://support.microsoft.com/default.aspx?scid=kb;EN-US;232137

, , , , , , ,

Keine Kommentare