OpenVPN Zertifikate unter Linux erzeugen

In einem älteren Blogpost habe ich die Erzeugung von OpenVPN Zertifikaten unter Windows beschrieben. Klick. Heute geht es darum, die benötigte CA inkl. Zertifikate unter Linux zu erzeugen. Auch unter Linux gibt es dank Easy-RSA bereits vorgefertigte Skripte, die den Job sehr gut erledigen. Die Easy-RSA Skripte können auch auf Github eingesehen und bei Bedarf direkt von dort bezogen werden. https://github.com/OpenVPN/easy-rsa/

„OpenVPN Zertifikate unter Linux erzeugen“ weiterlesen

Neue Zertifikatsprüfung „mozilla:pkix“ in Firefox

Der frisch veröffentlichte Firefox 31 bringt eine neue Bibliothek zur Zertifikatsprüfung mit. Diese „mozilla:pkix“ genannte Library soll Zertifikate zuverlässiger prüfen und leichter durch Entwickler zu pflegen sein. Diese Neuerung wurde auch in Thunderbird 31 implementiert. Nach dem Update der beiden Programme konnte ich mit Thunderbird nicht mehr auf meinen CAL/CARDDav Server zugreifen. Ein Zugriff auf das Web Frontend über den Browser war auch nicht mehr möglich. Es erschien folgende Meldung:

mozilla:pkix Mozilla Firefox

„Neue Zertifikatsprüfung „mozilla:pkix“ in Firefox“ weiterlesen

SSL Zertifikat mit OpenSSL erzeugen

Verschlüsselung ist in der heutigen Zeit sehr wichtig geworden. Je mehr Internet Traffic verschlüsselt wird, desto aufwendiger und komplizierter wird es, diesen zu überwachen. Beinahe allen selbst gehosteten Diensten (Seafile, OwnCloud, Tiny Tiny RSS, Jabber, OpenVPN…) liegt ein Linux als Betriebssystem zu Grunde. Jeder Dienst, der über das Internet angesprochen wird, sollte über TLS/SSL laufen. Wer sich kein eigenes SSL Zertifikat kaufen möchte, kann entweder zu kostenlosen Diensten wie StartSSL.com zurückgreifen oder sich ein eigenes Zertifikat erstellen.

„SSL Zertifikat mit OpenSSL erzeugen“ weiterlesen

OpenVPN Verbindung mit iOS Device

Public Hotspots sind eine tolle Sache. Überall ist man schnell online, um Aufgaben des täglichen Bedarfs zu erledigen. Dazu gehören z.B. Emails lesen, Kontostand abrufen etc…Wer Wert auf eine möglichst gesicherte Kommunikation legt, sollte einen public Hotspot nur zum Aufbau eines VPN Tunnels verwenden. Ansonsten besteht die Gefahr, dass dritte bzw. unbefugte den Datenverkehr mitlesen. Wie ein OpenVPN Server installiert wird, habe ich bereits beschrieben (auf DD-Wrt Router, auf OpenWrt Router, Zertifikate unter Windows). Für den Zugriff mittels iOS Device (iPhone, iPad) gibt es im AppStore die OpenVPN App. Klick

„OpenVPN Verbindung mit iOS Device“ weiterlesen

Zertifikate für OpenVPN erzeugen

OpenVPN ist eine OpenSource Software zum Aufbau eines VPN (Virtual Private Network). Ein VPN Tunnel wird genutzt, um eine Punkt zu Punkt Verbindung zu verschlüsseln, damit der Datenverkehr von dritten nicht mitgelesen werden kann. Ein gutes Beispiel sind Public Hotspots. Jeder kann sich im Urlaub in einer Strandbar mit dem hiesigen WLAN verbinden, um seine Mails zu lesen oder seinen Kontostand abzufragen. Wer jedoch in solchen unverschlüsselten WLANs mit lauscht kann erst mal niemand sagen. Gehen wird also generell mal vom schlimmsten aus. Wird die Public Hotspot Verbindung jedoch nur für den Aufbau des VPN Tunnels verwendet, geht der komplette Traffic über diesen Tunnel und ist nicht mehr auswertbar (vorausgesetzt die privaten Schlüssel bleiben geheim).

„Zertifikate für OpenVPN erzeugen“ weiterlesen

SSL mit Perfect Forward Secrecy unter nginx

SSL ist in den letzten Tagen mal wieder in aller Munde. Dank des Heartbleed Bugs in OpenSSL ist es Angreifern möglich, entschlüsselte Informationen oder sogar den privaten Schlüssel des Zertifikats aus dem Speicher des Webservers zu ziehen, ohne dabei Spuren zu hinterlassen. Sollte der private Schlüssel in fremde Hände gelangen, lässt sich damit einiges an Schindluder treiben. Eine Möglichkeit wäre, bereits aufgezeichnete, jedoch verschlüsselte Kommunikation, nachträglich zu entschlüsseln. Um das zu verhindern, gibt es eine Funktion die sich „Perfect Forward Secrecy“ nennt. PFS nutzt nicht das Public Key Verfahren um einen Sitzungsschlüssel zu erzeugen. Für PFS wird das Diffie-Hellman Verfahren eingesetzt. Hier wird von beiden Seiten (Client/Server) ein gemeinsamer Sitzungsschlüssel erzeugt. Wer’s gern etwas genauer wissen will, kann sich folgenden Wiki Artikel durchlesen Klick

„SSL mit Perfect Forward Secrecy unter nginx“ weiterlesen