Oktober 2013 - TauSys

StartSSL / StartCom Zertifikate und OCSP-Server Fehler

Jens Tautenhahn27. Oktober 20135. Mai 2014

Einige nutzen sicher die Möglichkeit, von StartCom kostenlose SSL-Zertifikate für den eigenen Webserver zu erhalten. Diese kostenlosen Zertifikate sind ein Jahr gültig und müssen anschließend erneuert werden. Beim Einspielen des erneuerten Zertifikats ist jedoch Vorsicht geboten: Firefox fragt standardmäßig den im Zertifikat angegebenen OCSP-Server ab, das neu erstellte Zertifikat ist im OCSP-Server von StartCom aber noch nicht bekannt. Firefox-User erhalten eine Fehlermeldung mit dem Code: sec_error_ocsp_unknown_cert.

Nach bisherigen Erkenntnissen dauert es ca. 6 bis 12 Stunden, bis das Zertifikat beim OCSP-Server bekannt ist. Man sollte also vor dem Einspielen des neuen Zertifikats auf den Webserver eine gewisse Zeitspanne warten.

Alternativ kann die OCSP-Überprüfung in Firefox auch vorübergehend deaktiviert werden. Hier sollte man aber wirklich wissen, was man tut. Die Einstellung ist unter dem Tab Zertifikate bei Validierung zu finden:

Verschlüsselten Root- oder vServer einrichten 4

Jens Tautenhahn14. Oktober 20138. Juni 20154 Kommentare

Beim Mieten eines Root- oder vServers von einem Hoster oder, wenn der eigene Server bei einem Hoster untergestellt werden soll (Co-Location) hat man ein Problem: der Server ist nicht unter eigener Kontrolle, Mitarbeiter des Hosters können darauf zugreifen, im schlimmsten Fall Daten ändern oder kopieren. Bei vServern ist dieser Angriff releativ einfach, da die gängigen Systeme problemlos einen Snapshot der vServer-Festplatten erstellen können, die dann von bösen Buben in Ruhe ausgewertet werden können. Bei Root-Servern wird meistens ein vom Hoster geliefertes Kernelimage installiert, dessen Quellcode nicht offenliegt, die gesamte Funktionalität also nicht bekannt ist und somit auch z.B. Keylogger enthalten könnte.

Linux hat auch für diese Problemefälle eine Lösung: verschlüsselte Partitionen. Problematisch ist, dass das zur Entsperrung der Partitionen benötigte Passwort beim Bootvorgang eingegeben werden muß. In einer Schritt-für-Schritt-Anleitung beschreibt Falk Husemanns, wie ein beim Hoster stehender Server von Grund auf mit einem Standardkernel und verschlüsselten Partitionen eingerichtet werden kann. Sollte der Server einmal gebootet werden müssen, kann bei dieser Lösung das Passwort zum Entsperren in einer SSH-Shell eingegeben werden.

Ebenfalls sind im Artikel weitere Werzeuge aufgelistet, mit denen sich Angriffe durch den Hoster erkennen lassen.

BTW: Dieser Text wird von einem Host geliefert, der nach obiger Anleitung eingerichtet wurde.

Warnung: Spam-Bestellbestätigung von Amazon 1

Jens Tautenhahn13. Oktober 20131 Kommentar

Was ich nicht alles so bestelle: eine recht teure Canon-Kamera zusammen mit einem Profi-Objektiv. Das ich das Ganze im "Junli" bestellt haben soll, "inkl. MwSt" nochmal auf den Preis draufgerechnet wird und die AGBs etwas sehr vertraulich zur Kenntnis genommen wurden, fällt gar nicht auf ;) Natürlich führt keiner der gesetzten Links auch nur annähernd in die Nähe von Amazon.