Tag Archives: Lets Encrypt

Blog auf LE HTTPS umgestellt.

Posted on by

Ich habe mein Blog auf HTTPS mit einem Lets Encrypt Zertifikat umgestellt.

Falls Ihr mit den RSS Feeds Probleme beim Abholen bekommt, meldet Euch bitte.

Wie man das macht : )

Als erstes bestellen wir mal das Zertifikat :

/etc/httpd/letsencrypt/letsencrypt.sh -c -d marius.bloggt-in-braunschweig.de -d www.marius.bloggt-in-braunschweig.de

Obiges geht natürlich nur, wenn Ihr den Bash Clienten von Lets Encrypt auch dort instaliert habt.

Dann legen wir im Apache eine HTTPS Site an, z.B. hier : /etc/httpd/sites/1_marius.bloggt-in-braunschweig.de

<VirtualHost *:443>
    SSLProxyEngine On
    ServerName marius.bloggt-in-braunschweig.de
    ServerAlias *.marius.bloggt-in-braunschweig.de
    ... Sachen die Euch nichts angehen :) ...    
    Header always set Strict-Transport-Security "max-age=31556926 includeSubDomains" env=HTTPS
    SSLEngine on
    SSLInsecureRenegotiation off
    SSLProtocol TLSv1.2
    SSLHonorCipherOrder on
    SSLCipherSuite EECDH+ECDSA+AESGCM:EECDH+aRSA+AESGCM:EECDH+ECDSA+SHA384:EECDH+ECDSA+SHA256:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH+aRSA+RC4:EECDH:EDH+aRSA:HIGH:!MD5:!aNULL:!EDH:!RC4:!RC4
    SSLCertificateKeyFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/privkey.pem
    SSLCertificateFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/cert.pem
    SSLCACertificateFile /etc/httpd/letsencrypt/certs/marius.bloggt-in-braunschweig.de/chain.pem

</VirtualHost>

Und dann muß man seiner Site noch sagen, daß sie alle HTTP Zugriffe auf HTTPS umleiten soll, bevor diese stattfinden.

RewriteCond %{HTTP_HOST} ^www.marius.bloggt-in-braunschweig.de
RewriteRule (.*) https://marius.bloggt-in-braunschweig.de/$1 [R=301,L]

RewriteCond %{HTTP_HOST} .*marius\.bloggt-in-braunschweig\.de
RewriteCond %{SERVER_PORT}   !^443$
RewriteRule  (.*)  https://%{HTTP_HOST}/$1   [L]

Das meint, daß wer WWW. aufruf, auf den Hauptdomainnamen umgeleitet wird. (Am.d.R. www. braucht kein Mensch mehr)
Die zweite Anweisung leitet alles was nicht auf Port 443 ankommt, auf Port 443 um, so daß es verschlüsselt wird.

Das wars.

Jetzt bleibt nur die Frage zu klären: „Wieso hast Du auf https umgestellt, wo BIB.de doch ohnehin schon ein LE Zertifikat hatte ?“

Na weil das bei Subdomain nicht anders geht, da LE keine Wildcardzerts ausstellt und 100 Einträge im Hauptzertifikat sind auch irgendwann zu ende.

Firefox 50 wird Let’s Encrypt Root vertrauen

Let’s Encrypt hat bekannt gegeben, daß Mozilla das ROOT Zertifikat von Let’s Encrypt ab Firefox 50 als vertrauenswürdig anerkennt. Damit ist ein riesiger Schritt getan worden, LE als Trusted CA (Certificate Authority) zu etablieren. Normalerweise dauert es  3-6 Jahre bis das ROOT Zertifikat einer Organisation so starkes Vertrauen genießt, daß es von Browsern akzeptiert wird.  LE hat es in wenigen Monaten geschafft.

Quelle: https://letsencrypt.org/2016/08/05/le-root-to-be-trusted-by-mozilla.html

Let’s Encrypt

Posted on by

Unter dem Motto Let’s Encrypt betreibt Mozilla zusammen mit Cisco u.a. eine Zertifizierungstelle bei der kostenlose domainvalidierte Zertifikate für die eigene Domain bestellt werden können.

Die Unterstützung für diese Plattform durfte ich Anfang der Woche bauen und bin dabei wiederholt an „neumodischen“ Erscheinungen hängen geblieben. In der guten alten Zeit hat man sich den Source einer Anwendung von der Webseite des Autors, Sourceforge o.ä. gezogen, kurz konfiguriert und dann kompiliert.

Heute klappt sowas nicht mehr, weil fast jedes Projekt gleich mehrere Frameworks einsetzt, die weder in den Readmes aufgeführt sind, noch sauber laufen. So mancher Webseite, die behauptet, das Projekt kurz kompiliert zu haben, kann man dabei kein Wort mehr trauen. Zumal es dann immernoch scheitern kann, selbst wenn das Lieblings OS einige Frameworks wie NodeJS, liefern kann.

Bis man sich die Einzelteile für ein kleines Projekt zusammen gesucht hat, können Stunden vergehen. Dabei spielt es keine Rolle, ob das Zielprogramm in Python, Java oder Javascript geschrieben wurde.

Zum Glück gibt es immer noch Menschen, die möglicherweise ungewollt, alles richtig machen, und keine skurrilen Abhängigkeiten in Ihre Projekte einbauen. Am Beispiel von Let’s Encrypt Tools ist letztendlich das primitivste Tool, daß „beste“ geworden: schneller Download, keine skurrilen Abhängigkeiten, und in der Alpha schon 100% zweckgeeignet naja und der beste Vorteil von allen, es ein Bashscript 🙂 Damit läuft es natürlich auf allen Linuxen sofort.Man muß es halt nur finden 😀

Am Ende bleibt nur zu hoffen, dann diese Abhängigkeitsfanatiker mit Ihren Projekten genauso schnell verschwinden, wie sie aufgetaucht sind. Outsourcing hat halt nicht nur Vorteile.