Es ist ja nichts Neues, dass man seine Daten – wenn man sie quer durch das Internet schickt schützen sollte. Dies geschieht meist durch Server-Zertifikate, welche man im Normalfall einmal erstellt und nie wieder angreift, sofern man sie selbst signiert. In meinem Fall habe ich jedoch beschlossen, Nägel mit Köpfen zu machen und mir ein Zertifikat von geholt, um zumindest etwas sicherer zu arbeiten. Außerdem ist es eine gute Übung um einmal auf andere Zertifikate umzusteigen.
Die Übung ist eigentlich immer das Selbe, nur mit dem Unterschied, dass wir das Zertifikat nicht selbst signieren. Es beginnt mit dem Certificate Request:
openssl req -nodes -new -keyout server.key -out server.csr
Dieser Request, im server.csr File enthalten geht nun an CACert, wo er bearbeitet wird. Diesen einzubauen ist ja nicht das Thema, so lange man das Root-Zertifikat zur Verifikation in seinem Speicher sitzen hat. Hat man es nicht, kann man es leicht nachinstallieren:
wget -nv https://www.cacert.org/certs/root.crt -O /etc/ssl/certs/CAcert.org_Root_Certificate.pem
Danach sollte der Rest eigentlich ziemlich einfach von der Hand gehen und man kann sein Zertifikat getrost einbinden. Hier ein Beispiel für Postfix:
# TLS PART START
smtp_tls_CAfile = /etc/postfix/tls/root.crt
smtp_tls_cert_file = /etc/postfix/tls/server.pem
smtp_tls_key_file = /etc/postfix/tls/key.pem
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtp_use_tls = yessmtpd_tls_CAfile = /etc/postfix/tls/root.crt
smtpd_tls_cert_file = /etc/postfix/tls/server.pem
smtpd_tls_key_file = /etc/postfix/tls/key.pem
smtpd_tls_session_cache_database = btree:$data_directory/smtpd_tls_session_cache
smtpd_use_tls = yessmtpd_tls_received_header = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_loglevel = 1tls_random_source = dev:/dev/urandom
# TLS PART END
Nach dem obligatorischen Reload, kann man zum Test schreiten, welchen mein System hier mit Erfolg bestanden hat. Der Rest ist reine Routine und wird sich dann mit dem nächsten Zertifikat ähnlich abspielen. Aber bis dahin bleibt mir nichts Anderes mehr übrig als meinen Daten eine sichere Reise zu wünschen.
Toei Rei says:
Uhm…. was bringt dir der Stunt mit den Zertifikaten? Ich meine – was macht CaCert besser als selbst signiert, da sie ja deine ID doch nicht so wirklich bestätigen bzw auch nicht offiziell im Browser enthalten sind?
Stargazer says:
Ganz einfach: Ich habe zumindest den Hauch einer Chance, wenn etwas schief geht mein Zertifikat als ungültig zu erklären. Mit anderen Worten – es zu revoken.
Ist zwar nicht viel, aber aus sicherheitstechnischer Sicht durchaus viel mehr als man erwarten kann, da das CA-Root bei vielen Linux Distributionen mitgeliefert wird.
Toei Rei says:
Du hoffst drauf, dass CACert bald offiziell in den Browsern als Root-CA enthalten ist?
Stargazer says:
Da ich nur wenige Dinge via SSL anbiete und die Leute mich persönlich kennen sollte es kein Problem sein, denen ein CACert Root-CA Zertifikat nachzuinstallieren. Was die Aufnahme betrifft bin ich eher skeptisch
Toei Rei says:
CAcert ist seit etwa 2005(?) dran da eine Aufnahme hinzubiegen. Ich weiss nicht, ob wir das noch erleben. Was ich übersehen habe ist, dass viele Linux-Distributionen die CA schon standardmässig dabei haben und man dadurch zumindest am Geek-Sektor einen gewissen Schutz bieten kann…