Let’s-Encrypt-Zertifikate mit aktueller Certbot-Version auf einem Raspbian Stretch erneuern

Einige mit einem Raspberry Pi, die eine Standardinstallation von Raspbian verwenden und Let’s Encrypt einsetzen, dürften dieser Tage elektronische Post von Let’s Encrypt bekommen haben. Da hieß es in etwa folgendermaßen:

Your Let’s Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days.

TLS-SNI-01 validation is reaching end-of-life and will stop working on February 13th, 2019.

You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire.

Das Problem bei einem aktuellen Raspbian Stretch, welches auf Debian Stretch basiert: in den offiziellen Paketquellen ist nur die Certbot-Version 0.10.1 enthalten, welche allerdings nur die Validierungsmethode TLS-SNI-01 enthält, welche nun aus Sicherheitsgründen nicht mehr unterstützt werden soll. Da ich bei mir auf einige Probleme gestoßen bin, möchte ich hier meinen Weg aufzeigen, wie ich eine aktuelle Version von Certbot unter Raspbian Stretch zum laufen bekommen habe, um Lets-Encrypt-Zertifikate weiterhin verwenden zu können.

„Let’s-Encrypt-Zertifikate mit aktueller Certbot-Version auf einem Raspbian Stretch erneuern“ weiterlesen

Let’s-Encrypt-Zertifikate mit aktueller Certbot-Version auf einem Raspbian Stretch erneuern

Private Cloud mit Seafile und Radicale auf einem Raspberry Pi (Teil 2)

Im ersten Teil der Artikelserie „Private Cloud mit Seafile und Baïkal Radicale auf einem Raspberry Pi“ ging es darum, den Raspberry Pi zum Laufen zu bekommen und vorzubereiten. In diesem 2. Teil soll es nun um die Inbetriebnahme des Kalender- und Kontakte-Servers gehen. Bei diesem setzte ich seit Jahren auf den Baïkal-Server, welcher wenig Ressourcen beansprucht und stabil läuft. Eigentlich sollte diese Anleitung auch für diesen geschrieben werden. Während der Recherche stellte sich aber heraus, dass Baïkal nicht mehr weiterentwickelt wird. Anleitungen für Software, welche nicht mehr weiterentwickelt werden und damit schnell veraltet sind, machen keinen Sinn und so werde ich die Anleitung für eine ebenso schlanke Open-Source-Alternative schreiben: Radicale. Bis man den Server installieren kann, sind aber noch ein paar Vorarbeiten zu leisten. Es werden folgende Schritte notwendig sein:

  1. Den Raspberry Pi vom Internet erreichbar machen
  2. Erstellen eines SSL-Zertifikats
  3. Aufsetzen eines Nginx-Webservers
  4. Das PiDrive mounten
  5. Radicale installieren und einrichten

„Private Cloud mit Seafile und Radicale auf einem Raspberry Pi (Teil 2)“ weiterlesen

Private Cloud mit Seafile und Radicale auf einem Raspberry Pi (Teil 2)

TLS-Verbindungen in Opera (und Firefox) sicherer machen

Bei Caschy habe ich zum ersten Mal davon gehört, dass die TLS-Verbindungen zu den Onlinebanking-Seiten der Banken teilweise Uralt-Standards verwenden, die schon lange als unsicher gelten. Damals dachte ich: „Na toll. Muss ich mir jetzt einen andere Browser suchen, damit meine Verbindungen zur Bank sicherer wird.“ Hintergrund: mein Standardbrowser ist Opera 12 und dieser hatte immer nur Verbindungen mit der TLS-Version 1.0 aufgebaut.

Inzwischen weiß man, dass eine einigermaßen sichere Verbindung nur mit der TLS-Version 1.2 in Verbindung mit dem Verschlüsselungsalgorithmus AES zu erreichen ist. Auch der Algorithmus RC4 gilt nicht mehr als sicher. Bisher dachte ich, dass es an der Kommunikation zwischen Browser und Server liegt, welche TLS-Version verwendet wird. Aber durch einen Google+-Post von Martin Gräßlin musste ich nun feststellen, dass man es dem Browser einfach nur „beibringen“ muss, welchen Standard er verwenden soll. Und siehe da: Auch im Opera 12 kann man es einstellen. „TLS-Verbindungen in Opera (und Firefox) sicherer machen“ weiterlesen

TLS-Verbindungen in Opera (und Firefox) sicherer machen

ownCloud mit SSL-Proxy betreiben

Update 05.05.2014: Markus wies mich freundlicherweise in einem Kommentar darauf hin, dass es anscheinend ab Version 6 nicht mehr so aufwendig ist, ownCloud mit einem SSL-Proxy zu konfigurieren:

„Seit Version 6 muss man sich nur über den SSL Proxy als admin einloggen und https aktivieren. Der Rest konfiguriert sich selber und funktioniert. Zumindest war das bei mir so.“

Dann hoffe ich mal, dass es bei euch auch so sein wird. Ich kann es leider nicht mehr für euch testen, da ich mittlerweile nicht mehr ownCloud verwende.


 

Will man private Daten in der Wolke ablegen, ist eine sichere Verbindung zum Server Pflicht. So werden auch bei allen größeren Cloud-Anbietern die Verbindungen zwischen Client und Server mit SSL-Zertifikaten gesichert.

Will man seine privaten Daten nicht in fremde Hände geben, kommt man um eine selbst-betriebene Lösung nicht herum, sei es auf dem eigenen Webspace oder auf dem kleinen Server zuhause. Mit der Veröffentlichung der Version 5 ist nun ownCloud wieder in aller Munde. Natürlich konnte ownCloud auch schon vorher mit dem SSL-Protokoll betrieben werden. Wer allerdings kein SSL-Zertifikat sein Eigen nennen konnte und auf einen SSL-Proxy zurückgriff, hatte das Nachsehen. Denn ohne selbst Hand anlegen zu wollen, scheiterte ein Zugriff auf das ownCloud-Backend über einen SSL-Proxy bis zur letzten stabilen Version 4.5.

Dieser Umstand wurde nun in der neuen Version 5 behoben, sodass man die Verbindung zur eigenen Wolke nun auch über einen SSL-Proxy absichern kann. Wie dies geht, soll im Folgenden beschrieben werden. Die Anleitung ist am Beispiel von HostEurope beschrieben, die für ihre Kunden einen kostenlosen SSL-Proxy anbieten. In ähnlicher Form wird es sicherlich auch bei anderen Webhostern funktionieren.

„ownCloud mit SSL-Proxy betreiben“ weiterlesen

ownCloud mit SSL-Proxy betreiben