Skip to content

Let's Encrypt

Nach einem Hinweis auf Twitter, danke an Dirk, dass aktuelle Versionen von Google Chrome mein (teuer bezahltes) StartSSL-Zertifikat nicht mehr unterstützen, habe ich mal schnell die Zertifikate auf Let’s Encrypt umgestellt. Geht bei uberspace dank dieser Anleitung zum Glück sehr leicht und schnell.

Sollte jemand Probleme bemerken, einfach melden.

SSL-Probleme mit Digg

Falls zufällig jemand Digg als Feed-Reader verwenden sollte, möchte ich hier kurz einen kleinen Hinweis geben, über den ich im Gespräch mit Malte gestolpert bin: Digg kann meinen Feed nicht lesen.

Nach Maltes Rückfrage beim Support verhält es sich wohl wie folgt:

The issue is with our rss crawler – the http client library we are using to fetch feeds has a bug in it around SSL…it doesnt allow certificate hosts that dont match up with the hostname of the feed (even though it’s valid!). something we need to fix. my apologies but we hope to have it sorted out soon.

Wenn ich es richtig interpretiere, liegt es wohl daran, dass mein gültiges Zertifikat ein Wildcard-Zertifikat für beliebige Subdomains ist und daher von Digg nicht korrekt erkannt wird. Entweder man wartet also, bis Digg den Fehler behebt oder man müsste sich für die Subdomain, auf der das Weblog (oder allgemein der Feed) läuft, ein eigenes Zertifikat ausstellen, welches für die Subdomain gültig ist.

Da ich ein fauler Hund bin, entscheide ich mich für ersteres. wink

Weblog-Anfragen auf SSL umgestellt

Nachdem die Probleme mit Trackbacks nun dank Garvin hoffentlich behoben sind, werden alle Anfragen an dieses Weblog wieder auf eine verschlüsselte Verbindung gezwungen.

Um alle normalen Anfragen auf die SSL-Verbindung umzuleiten, hatte ich im ersten Testlauf (bevor mir die Trackback-Probleme auffielen) folgende Bedingungen in die .htaccess geklöppelt, die mir Google irgendwo gesucht hatte. Die Seite weiß ich leider nicht mehr.

RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Allerdings bin ich vor ein paar irgendwie per Zufall im Wiki von uberspace.de auf eine andere Lösung gestoßen.

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteCond %{ENV:HTTPS} !=on
RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} [R=301,L]

Da ich prinzipiell von dem Zeug sowieso keine Ahnung habe, läuft ab jetzt die Lösung meines Lieblings-Webhosters smile

Piwik: SSL erzwingen

Piwik Logo

Ich bin in letzter Zeit dabei, alle meine Hosting-Sachen nach und nach auf SSL umzustellen. Für Piwik geht das dabei einfacher, als ich ursprünglich dachte (irgendwelches Zeug in der .htaccess oder so).

Man muss einfach nur in der Datei config/config.ini.php im Bereich [General] die folgende Zeile ergänzen:

force_ssl=1

Danach werden automatisch alle Anfragen an Piwik (z. B. auch Login-Daten) über die verschlüsselte Verbindung gelotst.

Das ist übrigens nicht auf meinem Mist gewachsen, sondern steht auch so in den Piwik-FAQ smile

Login-Probleme mit StartSSL

Ich sitze ja gerade beim Mac at Camp (geht noch bis morgen) und gestern war eine kleine Crypto-Party, bei der gezeigt werden sollte, wie man mit S/MIME-Zertifikat seine E-Mails signieren und/oder verschlüsseln kann.

Nun bin ich allerdings auf ein (für mich) gravierendes Problem gestoßen. Ich hatte damals mein Registrierungsprozedere in der Firma durchgeführt. StartCOM verwendet für den Benutzer-Login allerdings keinen üblichen Login mit Benutzername/Passwort, sondern verwendet ein installiertes Zertifikat, welches im Browser installiert werden muss.

Nun hatte ich bei besagter Crypto-Party das Problem, dass ich mich nicht bei startssl einloggen konnte, um neue Zertifikate zu generieren oder den anderen Teilnehmern zu zeigen, wie das überhaupt aussieht. Dumm gelaufen.

Die FAQ geben dazu übrigens folgenden Lösungsvorschlag:

14.) Ich habe mein Mandanten-Beglaubigungs Zertifikat verloren, was soll ich tun?

Stellen Sie zunächst sicher, dass Sie den gleichen Computer und Browser wie bei der Registrierung verwenden. Wenn Sie sicher sind, dass Sie das Mandantenzertifikat verloren haben und sich nicht mehr einloggen können, registrieren Sie sich erneut mit einer anderen E-Mailadresse (Falls das Originalzertifikat nicht abgelaufen ist). Setzten Sie sich dann unter Angabe Ihrer Merkmale mit dem CertMaster in Verbindung. Wir werden dann versuchen die neue Mandantenbeglaubigung in ihrem Originalkonto zu verknüpfen.

Mal schön doof. Wusste ich bisher auch nicht. Also, falls du mal SSL nutzen willst, immer schön darauf achten, an welchem PC du das machst.

Jetzt kann ich dann erstmal nächste Woche sehen, ob ich das Mandantenzertifikat vielleicht irgendwie vom Firmen-PC auf mein MacBook übertragen kann.

tweetbackcheck