ssl

Stop Certificate Pinning

Written by  on Juli 26, 2020

Stop Certificate Pinning

TLDR:

More risk than reward

Mehr Detail: Zu viele Leute haben irgendwas gemacht, ohne zu verstehen was sie tun.

Viel hilft viel

Written by  on Juli 19, 2020

Da fühle ich mich doch gleich viel sicherer… wenns denn hilft, dann halt 6 Monate, 3 Monate, oder vielleicht nur mehr Minuten… Millisekunden?
Browser-Hersteller verkürzen Zertifikats-Lebensdauer auf ein Jahr

OpenSSL3 in MobaXterm

Written by  on April 25, 2020

Ankündigung OpenSSL3.0Alpha1

Vorbereitung für MobaXterm: OpenSSL benötigt ein aktuelles Perl zum kompilieren.
apt-get install perl (hebt die Version von 14 auf 26)

Download von github.com/openssl/openssl -> Clone or Download -> Download ZIP
unzip
./config
make

apps/openssl.exe version
OpenSSL 3.0.0-alpha2-dev  (Library: OpenSSL 3.0.0-alpha2-dev )

Let’s Encrypt Alternative Buypass

Written by  on März 1, 2020

Es gibt eine Alternative zu Let’s Encrypt (LE): Buypass
Nichts gegen LE, aber eine Backup CA zu haben kann nicht verkehrt sein.
Einen vorhandenen Certbot von LE kann man recht einfach umstellen, erklärt unter Certbot basic usage
Recht schnell zeigt sich, dass hier keinen Umleitungen gefolgt wird und man HTTP auf Port 80 offen braucht.
Fehlermeldung im Certbot Log:

{"type":"compound","detail":"Errors during validation","subproblems":[{"type":"urn:ietf:params:acme:error:connection","detail":"The server could not connect to validation target","code":0}

Problembeschreibung im Buypass Forum
Auch LE empfiehlt Port 80 offen zu haben

Having a backup CA for Let’s Encrypt

Cipher Order

Written by  on Januar 4, 2020

Der Mozilla SSL Configuration Generator deaktiviert bewusst das Flag SSLHonorCipherOrder für die moderne Konfiguration.

SSLHonorCipherOrder     off

Das war früher anders, und ich war nicht der erste der auf die Idee gekommen ist, dass es sich um einen Bug handelt. Es gibt bereits einen Eintrag im Bugtracker.
Die Idee dahinter ist, dass sowieso nur mehr starke Cipher Suits verwendet werden. In dem Fall soll sich der Client aussuchen, was er am besten, schnellsten oder ressourcensparendsten verwenden kann. Falls aber aus irgendwelchen Gründen noch Legacy Ciphers verwendet werden (müssen), würde ich die Cipher Order trotzdem vorgeben.

Mozilla SSL Config Tool

Written by  on November 1, 2019

Man lernt nur durch Wiederholung:
moz://a SSL Configuration Generator
Schaut euch das an, wie man TLS ordentlich konfiguriert.

OpenSSL und Custom Certificates

Written by  on Oktober 26, 2019
openssl version -a
...
OPENSSLDIR: "/usr/local/ssl"
...

Place cert.pem File here (Liste of custom certificates)
See also:
Stackoverflow
MadBoa
Der Ordner ./certs da drin funktioniert nicht – zumindest nicht bei mir

OpenSSL PFX aus geschütztem Key erzeugen

Written by  on Februar 5, 2019
 openssl pkcs12 -export -in "${FILE}.cer" -inkey "${FILE}.key" -passin pass:$PASS -out "${FILE}.pfx" -name "${FILE}_$(date +%Y%m%d_%H%M%S)" -passout pass:$PASS

-name … Friendly Name / Alias
-passout … Passwort fürs PFX
-passin … Passwort vom KEY

OpenSSL PFX erzeugen

Written by  on Februar 2, 2019
openssl pkcs12 -export -out ${FILE}.pfx -inkey ${FILE}.key -in ${FILE}.cer

openssl nameopt

Written by  on Dezember 18, 2018

OpenSSL unterstützt eine nette Option, falls man den Output in einem Script weiterverarbeiten will.
Hier die normale Ausgabe:

openssl x509 -in test.cer -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:0d:00:d6:79:bf:17:7b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, O = Google Trust Services, CN = Google Internet Authority G3
        Validity
            Not Before: Nov 27 14:02:00 2018 GMT
            Not After : Feb 19 14:02:00 2019 GMT
        Subject: C = US, ST = California, L = Mountain View, O = Google LLC, CN = *.google.com

Und hier die Multiline Ausgabe:

openssl x509 -in test.cer -noout -text -nameopt multiline
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            55:0d:00:d6:79:bf:17:7b
    Signature Algorithm: sha256WithRSAEncryption
        Issuer:
            countryName               = US
            organizationName          = Google Trust Services
            commonName                = Google Internet Authority G3
        Validity
            Not Before: Nov 27 14:02:00 2018 GMT
            Not After : Feb 19 14:02:00 2019 GMT
        Subject:
            countryName               = US
            stateOrProvinceName       = California
            localityName              = Mountain View
            organizationName          = Google LLC
            commonName                = *.google.com

Dokumentation