Lästiger SMIME Bug in Apple iOS

Um meine Emails zu verschlüsseln, setze ich sowohl GPG als auch S/MIME ein. Beide Verfahren haben hier diverse Vor- und Nachteile. Damit ich generell die Funktionalität der Emailverschlüsselung auf iOS Geräten nutzen kann, habe ich mich hier für S/MIME entschieden, da es bereits integriert ist und ohne großen Aufwand genutzt werden kann. Wie S/MIME grundsätzlich zu nutzen ist, habe ich in einigen Beiträgen zusammengefasst: Klick Unter iOS verfolgt mich bereits seit mindestens Version 9 ein tierisch nerviger SMIME Bug, welcher immer dann zuschlägt, sobald ein Kommunikationspartner ein neues Zertifikat verwendet.

„Lästiger SMIME Bug in Apple iOS“ weiterlesen

Nginx und Let’s Encrypt auf Raspberry Pi

Mit Let’s Encrypt lassen sich kostenlose SSL Zertifikate erstellen, die von allen gängigen Browsern akzeptiert werden ohne eigene Root Zertifikate hinzufügen zu müssen. Gerade im Consumer-Bereich werden viele Einplatinencomputer wie der Raspberry Pi oder Banana Pi als Webserver verwendet, um gewisse Dienste über das Internet zu veröffentlichen. Mit HTTPS verschlüsselten Verbindungen zum eigenen Webserver wird die Sicherheit erhöht, da keine Kommunikation mehr im Klartext über die Leitung geht und somit nicht mehr bzw. nur mit deutlich erhöhtem Aufwand abgehört werden kann. Als Webserver empfiehlt sich auf dem Raspberry Pi „nginx“ (Engine-X ausgesprochen), da dieser trotz extremer Leistungsfähigkeit sehr wenig Ressourcen benötigt.

„Nginx und Let’s Encrypt auf Raspberry Pi“ weiterlesen

OCSP Stapling unter nginx aktivieren

Beim Einsatz von SSL gibt es einiges zu beachten, um Seiten ordentlich verschlüsselt auszuliefern. Grundvoraussetzung hierfür ist ein X.509 Zertifikat mit einem öffentlichen und einem privaten Schlüssel. Der private Schlüssel liegt ausschliesslich gut geschützt auf dem Webserver. Der öffentliche Schlüssel wird von jedem Client verwendet, der über https auf die entsprechende Seite zugreifen möchte. Let’s Encrpyt ist hier nur ein Beispiel, zur Ausstellung von Zertifikaten.

„OCSP Stapling unter nginx aktivieren“ weiterlesen

SMIME unter Thunderbird nutzen

Um Emails mit dem OpenSource Email Client Thunderbird zu verschlüsseln oder zu signieren, gibt es neben PGP das Verfahren S/MIME, welches der Mail Client direkt unterstützt. Um Emails überhaupt signieren und/oder verschlüsseln zu können, wird ein persönliches X.509 Zertifikat benötigt. Wie sich ein solches Zertifikat kostenlos erstellen lässt, habe ich hier beschrieben: Klick. Das Zertifikat muss zunächst in Thunderbird bekannt gemacht werden, um es zum Verschlüsseln bzw. Signieren zu nutzen. Das Zertifikat mit der Endung „.p12“ oder „.pfx“ kann über den Menüpunkt „Bearbeiten\Konten-Einstellungen“ importiert werden.

„SMIME unter Thunderbird nutzen“ weiterlesen

Let’s Encrypt Zertifikats Renewal bei UberSpace

Der Hoster UberSpace, stellt seinen Kunden die kostenlosen SSL / TLS Zertifikate von Let’s Encrypt zur Verfügung. Die Einbindung eines solchen Zertifikats ist denkbar einfach. Eine detaillierte Beschreibung ist hier zu finden: Klick Bei den Let’s Encrypt Zertifikate gilt zu beachten, dass diese „nur“ 90 Tage lang gültig sind und daher regelmäßig erneuert werden müssen. Hierfür könnte jetzt natürlich einmal pro Monat per Cronjob ein Update durchgeführt werden. Ich wollte jedoch eine Lösung, die mir nur dann ein neues Zertifikat erstellt, wenn das Aktuelle auch wirklich abläuft. Daher habe ich ein kleines Shell Skript geschrieben, welches die Zertifikate bei Uberspace prüft und nur kurz vor Ablauf erneuert.

„Let’s Encrypt Zertifikats Renewal bei UberSpace“ weiterlesen

SMIME unter iOS nutzen

Um Emails unter iOS zu verschlüsseln oder zu signieren, eignet sich das Verfahren S/MIME, da der Apple Mail Client bereits nativ S/MIME unterstützt. Zwingende Voraussetzung für den Einsatz von S/MIME unter iOS ist ein persönliches X.509 Zertifikat. Wie sich ein solches Zertifikat kostenlos erstellen lässt, habe ich hier beschrieben: Klick
Das fertige exportierte Zertifikat, welches im „.p12“ Format vorliegen sollte, schickt man sich am einfachsten per Email. Sollte ein Apple Rechner vorhanden sein, lässt sich auch über das „iPhone Configuration Utility“ ein Profil erstellen, in dem das S/MIME Zertifikat bereits enthalten ist. Das Profil kann dann direkt über iTunes auf das iPhone / iPad kopiert werden, ohne dass sensible Daten über das Internet verschickt werden müssen.

„SMIME unter iOS nutzen“ weiterlesen

SMIME Zertifikat zum Verschlüsseln von Emails

S/MIME ist neben PGP ein weiterer Standard, um Emails digital zu signieren und / oder zu verschlüsseln. Die digitale Signatur wird verwendet, um die Authentizität zu gewährleisten. Dies bedeutet, dass die Email auf dem Versandweg nicht manipuliert wurde. Verschlüsselt wird der Inhalt der Email, damit Dritte den Inhalt nicht lesen können. Wichtig ist hier zu wissen, dass ausschließlich der Nachrichteninhalt verschlüsselt wird. Betreff sowie die Metadaten bleiben wie auch bei PGP unverschlüsselt. Daher ist es immer ratsam den Betreff einer Email so zu wählen, dass der Inhalt nicht automatisch ableitbar ist, wenn dieser geheim bleiben soll. Genau wie auch bei PGP hat S/MIME diverse Vor- aber auch Nachteile. Ein klarer Vorteil ist die bessere Unterstützung der Mailclients. Gängige Programme wie Thunderbird, Outlook, Apple Mail etc. unterstützen S/MIME nativ, ohne zusätzliche Plug-Ins zu benötigen. Ein deutlicher Nachteil ist der Bezug der öffentlichen Schlüssel, die zur Verschlüsselung benötigt werden. Auch bei S/MIME kommt das asymmetrische Verfahren zum Einsatz.

„SMIME Zertifikat zum Verschlüsseln von Emails“ weiterlesen

Webserver Zertifikate mit Let’s Encrypt erzeugen

Let’s Encrypt hat nun nach langer Vorbereitungszeit damit begonnen, kostenlose SSL / TLS Zertifikate für Webserver auszustellen. Informationen dazu sind auf der offiziellen Seite zu finden. Klick Die erzeugten X.509 Zertifikate werden von allen gängigen Browsern akzeptiert, so dass keine Warnmeldungen beim Aufruf einer verschlüsselten Seite erscheinen. Die reine Prozedur, ein Zertifikat zu erstellen, ist jedoch bei Let’s Encrypt nicht alles. Es besteht auch die Möglichkeit, die Webserver Apache oder Nginx so zu konfigurieren, dass kein manuelles Eingreifen für den Einsatz von „https“ mehr nötig ist. Persönlich stehe ich diesem Punkt jedoch skeptisch gegenüber. Um die automatische Konfiguration zu ermöglichen, muss auf dem entsprechenden Webserver das komplette Let’s Encrypt Paket installiert werden. Dies bringt jedoch automatisch ein gewisses Sicherheitsrisiko mit sich. Auch wenn die Entwickler höchst wahrscheinlich mehr Ahnung von Webservern haben wie ich, möchte ich dennoch die vollständige Hoheit über das System haben. Desweiteren funktioniert der Automatismus nicht auf Shared Hosting Systemen.

„Webserver Zertifikate mit Let’s Encrypt erzeugen“ weiterlesen

PGP Zertifikate für Emailverschlüsselung erzeugen

Um Emails zu verschlüsseln gibt es zwei gängige Verfahren. Diese sind S/MIME und PGP. Die beiden Verfahren sind nicht untereinander kompatibel. S/MIME hat den großen Vorteil, dass es in jedem gängigen Mailclient (Outlook, Thunderbird, iOS Mail, Android Mail…) integriert ist. Die für S/MIME verwendeten X.509 Zertifikate werden in der Regel durch eine Public CA unterschrieben. Solange der Private Key unter eigener Hoheit bleibt, ist alles in Ordnung. Falls nicht, ist die Vertraulichkeit des Zertifikats zu bezweifeln.

„PGP Zertifikate für Emailverschlüsselung erzeugen“ weiterlesen

OpenVPN Zertifikate unter Linux erzeugen

In einem älteren Blogpost habe ich die Erzeugung von OpenVPN Zertifikaten unter Windows beschrieben. Klick. Heute geht es darum, die benötigte CA inkl. Zertifikate unter Linux zu erzeugen. Auch unter Linux gibt es dank Easy-RSA bereits vorgefertigte Skripte, die den Job sehr gut erledigen. Die Easy-RSA Skripte können auch auf Github eingesehen und bei Bedarf direkt von dort bezogen werden. https://github.com/OpenVPN/easy-rsa/

„OpenVPN Zertifikate unter Linux erzeugen“ weiterlesen