bug
Checking SSL Private Keys
Die ursprüngliche Frage war, wie kann ich feststellen, ob ein Zertifikat zum ursprünglichen Private Key passt. Googelt man die Frage, findet man auf SSLShopper einen Vorschlag, der aber nicht ausreicht sobald jemand Keys manipuliert!
Also muss noch eine zusätzliche Prüfung ins Script:
openssl rsa -in [privatekey] -check
Stellt sich raus, das funktioniert nicht mehr mit OpenSSL 1.1.0, weil eine Funktion einen neuen Namen erhalten hat. Aber die Leute bei OpenSSL sind da schnell und haben das nach meinen freundlichen Hinweis im Masterbranch eingepflegt.
OpenSSL 1.1.0 gibt’s ja jetzt schon etwas länger. Das bedeutet wohl, dass niemand seine Keys prüft. Zumindest nicht mit der aktuellen OpenSSL Version.
Über Bugs
Und dann gibt es noch die andere Variante – es wird ein Bug eingemeldet, diskutiert und dann ignoriert und abliegen gelassen. Wieder diskutiert und noch länger liegen gelassen.
Jetzt ratet Mal, welche Software ein Problem für Sysadmins einfach mal eben seit Mai 2008 liegen lässt. 169 Kommentare später liegt das noch immer da, und ich bekomme für jede weitere Beschwerde ein Mail.
Ob so etwas mit dem schwindenden Marktanteil von Firefox zu tun hat?
Über Bugs
Manchmal ärgert man sich über einen Fehler in einer freien Software. Und erstellt einen Bugreport. Ganz konkret ist das bei Lighttpd passiert. Zum Bugreport
Und da ist es halt so, dass man einen Bugreport schreibt. Und ruck zuck, so schnell dass man kaum schauen kann, ist der Bug nach nur 7,5 (in Worten siebeneinhalb) Jahren behoben.