Zitat des Tages

Written by  on Oktober 22, 2017

Der Roboter schwebte voran. Das System verfügte neben dem Kraftfeld über Scheinwerfer, eine Mehrfachbewaffnung, Lenkwaffen und eine autonome Freund-Feind-Erkennung, die nur sehr selten eigene Leute erschoss.

Zitat des Tages

Written by  on Oktober 21, 2017

Das Leben war zu kurz, um warmes Bier zu trinken, Zeit mit hässlichen Frauen zu verschwenden oder es in der Bedeutungslosigkeit versinken zu lassen.

HSTS Preload

Written by  on Oktober 18, 2017

Das HSTS Preloading wurde mittlerweile augeschaltet:

Status: xn--hllrigl-90a.at is currently preloaded.

Sollte sofort sichtbar sein, wer versucht http://www.höllrigl.at aufzurufen wird sofort auf https://www.höllrigl.at umgeleitet.
Auch die SSLLabs Prüfung erkennt das:

HSTS Preloading	Chrome  Edge  Firefox  IE  

Zitat des Tages

Written by  on Oktober 5, 2017

Nur 137 neue E-Mails, er ist erstaunt. Sonst gehen immer halbe Montage allein dafür drauf, die Post abzuarbeiten.

CAA records

Written by  on Oktober 4, 2017

Wie schaut ein CAA Record aus in bind:

xn--hllrigl-90a.at. CAA 1 issue "letsencrypt.org"

Erstellen lassen sich die CAA Records unter sslmate.com/caa. So bekommt man auch eine Auflistung aktueller Kürzel der CAs.

CAA Record mit dig überprüfen:

$ dig CAA höllrigl.at
...
;; QUESTION SECTION:
;höllrigl.at.                   IN      CAA

;; ANSWER SECTION:
höllrigl.at.            300     IN      CAA     0 iodef "mailto:hostmaster@xn--hllrigl-90a.at"
höllrigl.at.            300     IN      CAA     0 issue "letsencrypt.org"
...

Wenn dig den CAA Type noch nicht versteht:

$ dig höllrigl.at type257
...
;; QUESTION SECTION:
;höllrigl.at.                   IN      TYPE257

;; ANSWER SECTION:
höllrigl.at.            300     IN      TYPE257 \# 22 000569737375656C657473656E63727970742E6F7267
höllrigl.at.            300     IN      TYPE257 \# 43 0005696F6465666D61696C746F3A686F73746D617374657240786E2D 2D686C6C7269676C2D3930612E6174

Zitat des Tages

Written by  on Oktober 3, 2017

Das Weltall ist riesig, es gibt jede Menge Platz zwischen den wenigen Himmelskörpern, doch ausgerechnet, wenn er etwas zu sagen hat, ist ein Planet im Wege.

HSTS Preload WordPress

Written by  on Oktober 2, 2017

HSTS Header korrekt setzen inklusive preload in WordPress mit dem Plugin Security Headers
Preloading für die Browser aktivieren lassen unter hstspreload.org

Status: xn--hllrigl-90a.at is pending submission to the preload list.

Zitat des Tages

Written by  on Oktober 1, 2017

Er hat schon überlegt, sich Frühstück von zu Hause mitzubringen, aber dann müsste er nach der Arbeit noch einkaufen gehen statt sich seiner Lektüre widmen zu können. Seit seine Frau vor ein paar Jahren ausgezogen ist, kann er sich endlich ganz auf seine Bücher konzentrieren.

Zitat des Tages

Written by  on September 10, 2017

Mein Psychiater erklärte mir, ich sei verrückt, und ich sagte, dass ich da eine zweite Meinung wolle. „Okay“, sagte er, „Sie sind auch hässlich!“
Rodney Dangerfield, US-Ameriakanischer Komiker und Schauspieler

Verify X509 Certificate

Written by  on September 8, 2017

Es ist nicht ausreichend nur den Private Key zu überprüfen!
OpenSSL bietet auch eine einfache Möglichkeit einen CSR zu prüfen:

openssl req -in example.csr -verify
verify OK

Beim Public Key wird es komplizierter. Einzig eine Prüfung mit der Signatur der übergeordneten CA hilft. Hier eine erste Version eines Prüfscriptes.

#!/bin/bash
if [[ $# -ne 1 ]]; then
  echo "Wrong number of arguments."
  exit 1
fi

FILE=$1

# Allows to configure different openssl version
OPENSSL=$(which openssl)
TEMPDIR="/tmp
USERAGENT="CustomUserAgent"
# A proxy server would also get configured here
WGETOPTS="--user-agent=${USERAGENT} --timeout=5 --tries=1 -e"

SIGNER=$($OPENSSL x509 -in ${FILE} -text -noout | grep "CA Issuers - URI:http" | cut -d":" -f2- | tr -d '\r')
if [[ -z $SIGNER ]]; then
  echo "No issuer certificate found for download."
  exit 1
fi
SIGNERFILE=$(awk -F'/' '{print $NF}' <<<$SIGNER)

/usr/bin/wget $WGETOPTS $SIGNER -O $TEMPDIR/$SIGNERFILE >/dev/null 2>&1

# Try to convert to PEM
$OPENSSL x509 -inform der -in $TEMPDIR/$SIGNERFILE -out $TEMPDIR/$SIGNERFILE.cer 2>/dev/null
if [[ -s $TEMPDIR/$SIGNERFILE.cer ]]; then
  # use converted file, if conversation was successfull
  SIGNERFILE="$SIGNERFILE.cer"
fi
echo -n "Certificate verification: "
$OPENSSL verify -CAfile $TEMPDIR/$SIGNERFILE -partial_chain $FILE 2>&1 | grep -e "certificate signature failure" -e "OK" | cut -d":" -f2

# Cleanup
if [[ ! -z $SIGNERFILE ]]; then
  /bin/rm $TEMPDIR/$SIGNERFILE*
fi