OCSP Gute Idee, schlecht ausgeführt

OCSP, ein Standard um sicherzustellen das SSL-Zertifikate einer Seite legitim sind.

Dumm nur wenn dieser Service einmal nicht erreichbar ist. Dann gibt’s z.B. ein sec_error_ocsp_try_server_later und die Webseite ist schlichtweg nicht aufrufbar, es seidenn man stellt das Feature lokal im Browser global für alle Zertifikate komplett ab.

Und hier ist das Problem. Warum muss man ein Sicherheitsfeature im Falle einer Störung komplett umgehen? Warum wird einem nicht einfach eine Info gegeben das das Zertifikat nicht geprüft werden konnte, mit der Option auf eigene gefahr explizit mit dieser einen Seite fortzufahren (siehe „Unknow Issuer“ vorgehensweise)?

Für mich ist OCSP ganz einfach wieder ein schlecht durchdachtes Sicherheitsfeature offensichtlich auch ohne jede Redundanz.

Kommentare (2)

Sep27

L2TP/IPsec VPN/Proxy Server (PSK) unter Debian

Posted by MadMakz in How to, Linux

Vorwort

L2TP/IPsec via Racoon mit PSK Authentifizierung unter Debian.

Getestet mit

Windows 7, 10
Android 4.4-5.1

Kein Copy/Paste! Konfigs aufmerksam durchgehen und entsprechendes anpassen!

Achtung: Auf Grund der Funktionsweise von L2TP funktioniert generell immer nur ein Client, meist der letzte verbundene, aus dem selben NAT-Netzwerk.

Dieses Setup eignet sich daher Hauptsächlich für Mobile Endgeräte oder Modem/Single-PC als Client.

Kommentare (1)

Sep06

Nie wieder StartSSL

Posted by MadMakz in Internet

Nach drei (oder mehr?) Jahren drehe ich StartSSL endgültig den Rücken zu.

Nicht nur weil man dubioserweise neben dem Personalausweis auch noch die Geburtsurkunde für die persönliche Class 2 Authentifizierung sehen will (sofern ein gültiger Reisepass nicht vorhanden ist), so geht mir vor allem das ständige „ERR_BAD_SSL_CLIENT_AUTH_CERT“ (Crome) bzw. „sec_error_untrusted_issuer“ (Firefox) auf die Nerven. Das sieht man relativ häufig wenn man sich in das Panel von StartSSL einloggen will.

Normalerweise lässt sich dies mit löschen des via „StartSSL G2“ ausgestellten Stammzertifikates beheben. Dieses mal jedoch nicht! Selbst das löschen und Re-importieren aller StartSSL Zertifikate brachte mich kein Stück weiter. Support hat mir dies ebenfalls einen Tag später noch einmal gesagt.

Dabei war aber das Zertifikat von spiffytek.de abgelaufen und die Seite dank HSTS nicht mehr zugänglich!

Nach dem ich drei Tage vergebens versucht habe mich in das Panel von StartSSL ein zu loggen war ich es endgültig Leid.

Kurzerhand entschied ich mich für ein Zweijahres Zertifikat von COMODO über die PSW-Group. Das funktionierte auch ohne irgendwelche Probleme. Wobei, ein simples Kundeninterface zur Verwaltung/für Historie wäre schon schön liebe PSW.

Wer es übrigens ganz günstig haben will bekommt SSL-Zertifikate zum Spottpreis vom U.S. Betreiber Namecheap.

Für meine anderen Domains warte ich jetzt erst einmal auf Letsencrypt, denn eigentlich brauche ich keine „assurance“ Zertifikate.

Kommentare (1)

Aug15