https
certbot verbuggt
# /usr/bin/certbot renew --force-renewal Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/domain.tld.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Plugins selected: Authenticator webroot, Installer None Renewing an existing certificate Performing the following challenges: http-01 challenge for www.domain.tld http-01 challenge for domain.tld Cleaning up challenges Attempting to renew cert (domain.tld) from /etc/letsencrypt/renewal/domain.tld.conf produced an unexpected error: Missing command line flag or config entry for this setting: Input the webroot for www.domain.tld:. Skipping. All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - All renewal attempts failed. The following certs could not be renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (failure) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 renew failure(s), 0 parse failure(s)
Ein Bug in Certbot 0.31… vielleicht nur in Ubuntu… die Option fürs Webroot „vergessen“.
/etc/letsencrypt/renewal/domain.tld.conf
# Options used in the renewal process [renewalparams] account = XXX authenticator = webroot webroot_path = /var/www/html, # Der Teil hat gefehlt. Nach dem Renewal wurde der Beistrich von certbot angefügt server = https://api.buypass.com/acme/directory [[webroot_map]] # Der Abschnitt wurde vom Certbot anschließend automatisch erstellt www.domain.tld = /var/www/html domain.tld = /var/www/html
# /usr/bin/certbot renew --force-renewal Saving debug log to /var/log/letsencrypt/letsencrypt.log - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Processing /etc/letsencrypt/renewal/domain.tld.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Plugins selected: Authenticator webroot, Installer None Renewing an existing certificate Performing the following challenges: http-01 challenge for www.domain.tld http-01 challenge for domain.tld Using the webroot path /var/www/html for all unmatched domains. Waiting for verification... Cleaning up challenges - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - new certificate deployed without reload, fullchain is /etc/letsencrypt/live/domain.tld/fullchain.pem - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations, all renewals succeeded. The following certs have been renewed: /etc/letsencrypt/live/domain.tld/fullchain.pem (success) - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
HTTPS erzwingen
HTTPS nutzen
So sehr ich HTTPS und Verschlüsselung überall zu schätzen weiß, gibt es doch ein paar Stellen, wo es aktuell noch hakt ohne HTTP.
Wie wird eine CRL abgerufen?
Wie wird mit einem OCSP kommuniziert?
Wie sollen interne Geräte, der Router, ein Druck, WLAN Access Point, mit einem Zertifikat versorgt werden?
PI Setup
Win32 Imager
Download Link für Image (Version & Kernel)
Einstellungen am PI:
- Deutsche Tastatur
- Statische IP
static ip config am eth0
/etc/network/interfaces.d/eth0auto eth0 allow-hotplug eth0 iface eth0 inet static address 10.0.XXX.XXX netmask 255.255.255.0 gateway 10.0.XXX.XXX dns-nameservers 127.0.0.1
- SSH aktivieren
service ssh start systemctl enable ssh
- DHCP Client deaktivieren
service dhcpcd stop systemctl disable dhcpcd
- Pihole setup
- DoH (DNS over HTTPS aktivieren
- interne DNS Zone aufbauen
Zitat des Tages
Beschreibt exakt was wir alle tagtäglich erleben mit SSL/TLS/X.509
Allerdings sind Verbindungen zu diesen Seiten nicht zwangsläufig sicher. Die Verwendung schwacher Verschlüsselungsalgorithmen, Schwachstellen in den Webservern oder SSL-Bibliotheken in Verbindung mit allen möglichen Angriffstechniken, können Eindridnglinge auf empfindliche Informationen zugreifen lassen. Ein wichtiger Aspekt ist auch die Vertrauenswürdigkeit einer öffentlichen Zertifizierungsstelle. Die bekanntesten offiziellen Zertifizierungsstellen sind … und …, deren Verwendung schon in die meisten Browser kompiliert ist und daher automatisch akzeptiert wird.