Seite 2 von 5 ErsteErste 1234 ... LetzteLetzte
Ergebnis 11 bis 20 von 42
  1. #11

    Standard

    Habe eine Seite, wo die Besucher keinen Fehler bekommen sollen. Deswegen das GlobeSSL. Sämtliche interne Sachen von mir sind mit einem CAcert ausgestattet.
    Nein, du brauchst für jede domain/subdomain ein eigenes Cert, ausser du nimmst ein Wildcard. Und die sind, wie schon gesagt wurde, relativ teuer.

    colo ZRH | SuperMicro | 64GB RAM | Xeon E5-2620v4 | 4x1TB SATA, HW RAID 10 | debian stretch | BGP | SuperMicro 5018D-FN8T | 1 Gbit/s | DS218+ mit 2x 1TB |
    colo FRA | SuperMicro | 32GB RAM | Xeon E3-1240 | 4x1TB SAS, HW RAID 10 | debian stretch | BGP | SuperMicro 5018D-FN8T | 11 Gbit/s |
    netzwerk | AS62078 | RIPE LIR | BGP Multihoming | 2 Locations |
    Home | Synology DS218+ | 2x1TB WD RED | USV | PCEngines APU2 | UPC 500 Mbit/s & Salt 10 Gbit/s |


  2. #12
    Anwender
    Registriert seit
    11.10.2013
    Beiträge
    213

    Standard

    Vielen Dank!
    Ich glaube ich werde es auch mit GlobeSSL probieren!

  3. #13
    Anwender
    Registriert seit
    11.10.2013
    Beiträge
    213

    Standard

    Habe mir jetzt mal ein Probe-Zertifikat gemacht. Bekomme aber trotzdem noch Zertifikats-Hinweise. Why???
    Das Zertifikat enthält ja auch den Schlüssel. Ist es überhaupt sicher? Gerade wo diese Unternehmen in den USA sitzen...

  4. #14
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.483

    Standard

    Das Zertifikat, was der Server ausliefert, enthält nur einen öffentlichen Teilschlüssel, nicht den privaten Schlüssel. Was man aber beherzigen sollte ist, das Schlüsselpaar au seinem Rechner/DS zu erzeugen und daraus einen CSR (Certificate Signing Request) zu generieren - da den private Schlüssel niemand sonst in die Finger bekommen sollte, ist inzwischen zu vermeiden, das Angebot des Dienstleisters anzunehmen, ein Schlüsselpaar zu erzeugen. Mit dem CSR erzeugt dann der Dienstleister das signierte Zertifikat.
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.2.3-25423
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.1 - Java 1.8.0.212 - Nextcloud 18.0.4 - Roundcube 1.4.3 - HumHub 1.5.1 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  5. #15
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.275
    Blog-Einträge
    20

    Standard

    wenn man die entsprechenden SSL-Ciphren benutzt (weiss aber ned ob die Firmware das auch kann), dann kann man der private Key eigentlich sogar an die Haustüre hängen ;-) Denn bei den modernen Ciphren wird die eigentliche Kommunikation mit vom private Key vollkommen unabhängigen Schlüsseln gesichert. Das sind sozusagen temporäre Schlüssel, die genau für eine Verbindung genutzt werden. Zudem wird dabei zum Schlüsseltausch ein Verfahren verwendet, welches es unnötig macht, dass die benutzen Schlüssel überhaupt jemals zwischen Server und Client durch die Leitung gehen
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  6. #16
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.483

    Standard

    Aber im regulären SSL wird der private Schlüssel (also bei dem asymmetrischen 1. Teil der Kommunikation) genutzt, um den Sessionkey (für den symmetrischen 2. Teil) zu vereinbaren. Das von Dir angedeutete PFS über einen intitialen DH-Schlüsseltausch wird heutzutage bei praktisch keinen Servern in freier Wildbahn angeboten, nicht mal bei den Servern des BSI, die jüngst genau das für behörtliche Server gefordert haben (zumal dieses auch noch nicht in allen Browsern unterstützt wird). Auch bei der DS ist der private Key zwangsweise gefordert, eben weil DH (noch) nicht implementiert ist. Für's erste würde ich daher meinen privaten Key immer noch schön wegschliessen
    Geändert von Frogman (17.10.2013 um 14:46 Uhr)
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.2.3-25423
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.1 - Java 1.8.0.212 - Nextcloud 18.0.4 - Roundcube 1.4.3 - HumHub 1.5.1 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  7. #17
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.275
    Blog-Einträge
    20

    Standard

    Zitat Zitat von Frogman Beitrag anzeigen
    as von Dir angedeutete PFS über einen intitialen DH-Schlüsseltausch wird heutzutage bei praktisch keinen Servern in freier Wildbahn angeboten, nicht mal bei den Servern des BSI, die jüngst genau das für behörtliche Server gefordert haben
    gmail hat bereits komplett umgestellt. Und dank der NSA werden mehr kommen :-)
    Ob es in der DS bereits verfügbar ist, findest du schnell raus wenn du dir die verfügbaren Ciphren der openssl Library anguckst
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  8. #18
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.483

    Standard

    Da hast Du Recht... aber sie tun es auch nur für die email-Server (aber wenigstens etwas). Ein weiterer Punkt ist aber, dass PFS allein nicht wirklich die Sicherheit liefert, die man sich wünscht - weil es nämlich keine Authentifikation liefert. Nur die Kombination mit der Signatur über einen authentischen private key liefert Dir die Sicherheit, mit dem Richtigen geheim zu reden.
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.2.3-25423
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.1 - Java 1.8.0.212 - Nextcloud 18.0.4 - Roundcube 1.4.3 - HumHub 1.5.1 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

  9. #19
    Moderator Avatar von jahlives
    Registriert seit
    19.08.2008
    Beiträge
    18.275
    Blog-Einträge
    20

    Standard

    Die Sicherheit von SSL steht und fällt mit der Vertrauenswürdigkeit der Serverzertifikates, das stimmt. Bei PFS geht es ja auch weniger um die Authentifizierung der Gegenseite, sondern mehr gegen die "Vorratsdatenspeicherung", welche durch PFS recht sinnlos wird.
    Schade finde ich dass die "Serverhersteller" (z.B. apache) und die Clienthersteller (z.B. Browser) sich den Ball hin- und herschieben, wer denn jetzt im Zugzwang ist, damit PFS schneller zum Durchbruch verholfen wird.
    Kannst du allenfalls mal den Output von
    Code:
    openssl ciphers
    einer DS hier posten. Dann sehen wir schnell ob es mit einer DS bereits möglich ist
    Was im Leben zählt, ist nicht, dass wir gelebt haben. Sondern, wie wir das Leben von anderen verändert haben (Rolihlahla "Nelson" Mandela 1918-2013)

  10. #20
    Anwender Avatar von Frogman
    Registriert seit
    01.09.2012
    Beiträge
    17.483

    Standard

    Du hast Recht, jahlives, ich muss mich korrigieren
    sogar die DH-Varianten mit 256bit und elliptischen Kurven gleich zu Beginn... - also, hier ist Synology vorbildlich.
    DS713+ | 2x 1TB Crucial M500 SSD # 4GB RAM # be quiet! Shadow Wings | DSM 6.2.3-25423
    DS212+ | Backup-DS: 2x 4TB HGST Deskstar NAS | DSM 6.1.7-15284-U3
    Extras: fail2ban 0.11.1 - Java 1.8.0.212 - Nextcloud 18.0.4 - Roundcube 1.4.3 - HumHub 1.5.1 - tt-rss 19.02
    Synology-Support-Portal | DSM-Hilfe online | Synology-Tutorials
    Die richtige Formulierung eines Problems ist nicht selten bereits die halbe Lösung. (Albert Einstein)

Seite 2 von 5 ErsteErste 1234 ... LetzteLetzte

Ähnliche Themen

  1. StartSSL fehler
    Von an124 im Forum Sonstiges
    Antworten: 21
    Letzter Beitrag: 16.08.2013, 13:11
  2. StartSSL mit Subdomain
    Von Arthuro im Forum Sonstiges
    Antworten: 1
    Letzter Beitrag: 07.08.2013, 15:47
  3. SSL Zertifikat mit StartSSL
    Von rauppe31 im Forum Webserver
    Antworten: 21
    Letzter Beitrag: 05.04.2012, 16:31
  4. Zertifikat mit Startssl
    Von Dave im Forum Webserver
    Antworten: 107
    Letzter Beitrag: 16.02.2012, 23:21
  5. startssl
    Von bizarre im Forum Sonstiges
    Antworten: 12
    Letzter Beitrag: 26.09.2011, 17:25

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •