georg

HSTS Preload

Written by  on Oktober 18, 2017

Das HSTS Preloading wurde mittlerweile augeschaltet:

Status: xn--hllrigl-90a.at is currently preloaded.

Sollte sofort sichtbar sein, wer versucht http://www.höllrigl.at aufzurufen wird sofort auf https://www.höllrigl.at umgeleitet.
Auch die SSLLabs Prüfung erkennt das:

HSTS Preloading	Chrome  Edge  Firefox  IE  

Zitat des Tages

Written by  on Oktober 5, 2017

Nur 137 neue E-Mails, er ist erstaunt. Sonst gehen immer halbe Montage allein dafür drauf, die Post abzuarbeiten.

CAA records

Written by  on Oktober 4, 2017

Wie schaut ein CAA Record aus in bind:

xn--hllrigl-90a.at. CAA 1 issue "letsencrypt.org"

Erstellen lassen sich die CAA Records unter sslmate.com/caa. So bekommt man auch eine Auflistung aktueller Kürzel der CAs.

CAA Record mit dig überprüfen:

$ dig CAA höllrigl.at
...
;; QUESTION SECTION:
;höllrigl.at.                   IN      CAA

;; ANSWER SECTION:
höllrigl.at.            300     IN      CAA     0 iodef "mailto:hostmaster@xn--hllrigl-90a.at"
höllrigl.at.            300     IN      CAA     0 issue "letsencrypt.org"
...

Wenn dig den CAA Type noch nicht versteht:

$ dig höllrigl.at type257
...
;; QUESTION SECTION:
;höllrigl.at.                   IN      TYPE257

;; ANSWER SECTION:
höllrigl.at.            300     IN      TYPE257 \# 22 000569737375656C657473656E63727970742E6F7267
höllrigl.at.            300     IN      TYPE257 \# 43 0005696F6465666D61696C746F3A686F73746D617374657240786E2D 2D686C6C7269676C2D3930612E6174

Zitat des Tages

Written by  on Oktober 3, 2017

Das Weltall ist riesig, es gibt jede Menge Platz zwischen den wenigen Himmelskörpern, doch ausgerechnet, wenn er etwas zu sagen hat, ist ein Planet im Wege.

HSTS Preload WordPress

Written by  on Oktober 2, 2017

HSTS Header korrekt setzen inklusive preload in WordPress mit dem Plugin Security Headers
Preloading für die Browser aktivieren lassen unter hstspreload.org

Status: xn--hllrigl-90a.at is pending submission to the preload list.

Zitat des Tages

Written by  on Oktober 1, 2017

Er hat schon überlegt, sich Frühstück von zu Hause mitzubringen, aber dann müsste er nach der Arbeit noch einkaufen gehen statt sich seiner Lektüre widmen zu können. Seit seine Frau vor ein paar Jahren ausgezogen ist, kann er sich endlich ganz auf seine Bücher konzentrieren.

Zitat des Tages

Written by  on September 10, 2017

Mein Psychiater erklärte mir, ich sei verrückt, und ich sagte, dass ich da eine zweite Meinung wolle. „Okay“, sagte er, „Sie sind auch hässlich!“
Rodney Dangerfield, US-Ameriakanischer Komiker und Schauspieler

Verify X509 Certificate

Written by  on September 8, 2017

Es ist nicht ausreichend nur den Private Key zu überprüfen!
OpenSSL bietet auch eine einfache Möglichkeit einen CSR zu prüfen:

openssl req -in example.csr -verify
verify OK

Beim Public Key wird es komplizierter. Einzig eine Prüfung mit der Signatur der übergeordneten CA hilft. Hier eine erste Version eines Prüfscriptes.

#!/bin/bash
if [[ $# -ne 1 ]]; then
  echo "Wrong number of arguments."
  exit 1
fi

FILE=$1

# Allows to configure different openssl version
OPENSSL=$(which openssl)
TEMPDIR="/tmp
USERAGENT="CustomUserAgent"
# A proxy server would also get configured here
WGETOPTS="--user-agent=${USERAGENT} --timeout=5 --tries=1 -e"

SIGNER=$($OPENSSL x509 -in ${FILE} -text -noout | grep "CA Issuers - URI:http" | cut -d":" -f2- | tr -d '\r')
if [[ -z $SIGNER ]]; then
  echo "No issuer certificate found for download."
  exit 1
fi
SIGNERFILE=$(awk -F'/' '{print $NF}' <<<$SIGNER)

/usr/bin/wget $WGETOPTS $SIGNER -O $TEMPDIR/$SIGNERFILE >/dev/null 2>&1

# Try to convert to PEM
$OPENSSL x509 -inform der -in $TEMPDIR/$SIGNERFILE -out $TEMPDIR/$SIGNERFILE.cer 2>/dev/null
if [[ -s $TEMPDIR/$SIGNERFILE.cer ]]; then
  # use converted file, if conversation was successfull
  SIGNERFILE="$SIGNERFILE.cer"
fi
echo -n "Certificate verification: "
$OPENSSL verify -CAfile $TEMPDIR/$SIGNERFILE -partial_chain $FILE 2>&1 | grep -e "certificate signature failure" -e "OK" | cut -d":" -f2

# Cleanup
if [[ ! -z $SIGNERFILE ]]; then
  /bin/rm $TEMPDIR/$SIGNERFILE*
fi

Zitat des Tages

Written by  on September 7, 2017

Neulich parkten [wir] neben einem schnittigen Tesla, der mit einem dicken Kabel an einer Ladesäule hing wie ein Baby an der Nabelschnur.
„Schnurlose Autos müsste es geben“, seufzte [er], und ich ergänzte: „Die man in ein oder zwei Minuten überall aufladen kann.“
„Absolut. Und die müssten auch irgendwie ein Geräusch machen, damit nicht andauernd Jogger dagegenklatschen.“
„Und so viel Energie speichern, dass man die Klimaanlage laufen lassen kann, wann immer man will.“
[Wir] stigen aus meinem 47 Jahre alten Ford aus und ließen die Türen ins Schloss krachen, dass es nur so schepperte.
„Autos, die weiter fahren als 270 Meilen …“
„… die so wenig kosten, dass praktisch jeder sich eines leisten kann!“

Zitat des Tages

Written by  on September 5, 2017

Rote Bete
Rote Bete, diiiee müsse man essen, hört man auch noch viel zu oft, sie sei ja so gesund. Mag sein, aber halt nicht für jeden. Rote Bete enthält nämlich eine beachtliche Menge Oxalsäure, welche in größerer Menge zu Lähmungserscheinungen und Nierenschäden führen kann. Die tödliche Dosis Oxalsäure liegt übrigens bei 600 mg pro kg Körpergewicht.