https

certbot verbuggt

Written by  on November 13, 2020
# /usr/bin/certbot renew --force-renewal
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/domain.tld.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Plugins selected: Authenticator webroot, Installer None
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for www.domain.tld
http-01 challenge for domain.tld
Cleaning up challenges
Attempting to renew cert (domain.tld) from /etc/letsencrypt/renewal/domain.tld.conf produced an unexpected error: Missing command line flag or config entry for this setting:
Input the webroot for www.domain.tld:. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/domain.tld/fullchain.pem (failure)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/live/domain.tld/fullchain.pem (failure)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 renew failure(s), 0 parse failure(s)

Ein Bug in Certbot 0.31… vielleicht nur in Ubuntu… die Option fürs Webroot „vergessen“.
/etc/letsencrypt/renewal/domain.tld.conf

# Options used in the renewal process
[renewalparams]
account = XXX
authenticator = webroot
webroot_path = /var/www/html,                     # Der Teil hat gefehlt. Nach dem Renewal wurde der Beistrich von certbot angefügt
server = https://api.buypass.com/acme/directory
[[webroot_map]]                                   # Der Abschnitt wurde vom Certbot anschließend automatisch erstellt
www.domain.tld = /var/www/html
domain.tld = /var/www/html

# /usr/bin/certbot renew --force-renewal
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/domain.tld.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Plugins selected: Authenticator webroot, Installer None
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for www.domain.tld
http-01 challenge for domain.tld
Using the webroot path /var/www/html for all unmatched domains.
Waiting for verification...
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed without reload, fullchain is
/etc/letsencrypt/live/domain.tld/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/domain.tld/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

HTTPS erzwingen

Written by  on Juni 4, 2020

HTTPS nutzen
So sehr ich HTTPS und Verschlüsselung überall zu schätzen weiß, gibt es doch ein paar Stellen, wo es aktuell noch hakt ohne HTTP.
Wie wird eine CRL abgerufen?
Wie wird mit einem OCSP kommuniziert?
Wie sollen interne Geräte, der Router, ein Druck, WLAN Access Point, mit einem Zertifikat versorgt werden?

PI Setup

Written by  on August 25, 2018

Win32 Imager
Download Link für Image (Version & Kernel)

Einstellungen am PI:

  1. Deutsche Tastatur
  2. Statische IP
    static ip config am eth0
    /etc/network/interfaces.d/eth0

    auto eth0
allow-hotplug eth0
iface eth0 inet static
address 10.0.XXX.XXX
netmask 255.255.255.0
gateway 10.0.XXX.XXX
dns-nameservers 127.0.0.1
  3. SSH aktivieren 
    service ssh start
systemctl enable ssh
  4. DHCP Client deaktivieren 
    service dhcpcd stop
systemctl disable dhcpcd
  5. Pihole setup
  6. DoH (DNS over HTTPS aktivieren
  7. interne DNS Zone aufbauen

Zitat des Tages

Written by  on Oktober 25, 2017

Beschreibt exakt was wir alle tagtäglich erleben mit SSL/TLS/X.509

Allerdings sind Verbindungen zu diesen Seiten nicht zwangsläufig sicher. Die Verwendung schwacher Verschlüsselungsalgorithmen, Schwachstellen in den Webservern oder SSL-Bibliotheken in Verbindung mit allen möglichen Angriffstechniken, können Eindridnglinge auf empfindliche Informationen zugreifen lassen. Ein wichtiger Aspekt ist auch die Vertrauenswürdigkeit einer öffentlichen Zertifizierungsstelle. Die bekanntesten offiziellen Zertifizierungsstellen sind … und …, deren Verwendung schon in die meisten Browser kompiliert ist und daher automatisch akzeptiert wird.