SSL für Anfänger?

[Huschi]

Die andere Sache: Woher weiß der Browser welche Zertifizierungsstellen trusted sind?

Die ersten werden vom Browser-Hersteller mitgeliefert. Weitere kannst Du natürlich hinzufügen.
Ich muß aber ehrlich gestehn, daß ich nicht weiß, warum alle Hersteller die Selben mitliefern. Ich denke, es wird wohl einen zentralen Verein/Consortium/Dienststelle o.ä. geben, wo die alle vereinigt sind. (Vieleicht sogar im W3C?)

huschi.

 

[server4downs]

Oka, dann erstell ich mir jetzt ein eigenes Zertifikat, damit erstmal niemand mitlesen kann.

Die andere Sache: Woher weiß der Browser welche Zertifizierungsstellen trusted sind?

Da gibt es halt schon Einige, die wie verisign "trusted" sind. D.h. diese Firmen sind vertrauenswürdig und wurden schon in das Installationspaket des Browser mit dazu gepackt. Wenn du jetzt z.B. ein Windows-Update machst, dann werden wieder neuere Firmen hinzugefügt...
Deswegen funktionieren selbst manch "billig" gekauften nur mit neueren Browserversionen.

Jetzt würde ich aber doch gerne auch noch eine Frage stellen:
Irgendwie spielt es bei mir gerade verrückt (ssl)....
https://ssl.profi-design.de
es funste mal ganz nett.. jetzt erzählt er mir aber, dass es abgelaufen wäre, obwohl es noch net is??? Weird, eh?
Naja.. auch egal... werde es so wie so noch mal neu installieren müssen, da ich diese Passphrase wieder weg haben will und dazu brauch ich ja ein Neues, gell?

 

[cretter]

Verisign ist natürlich ein "trusted" Anbieter. Dafür sind sie ja auch am teuersten ....

Interessant wäre es zu wissen, welche Anbieter alles von Haus aus trusted sind (also direkt mit Browser Auslieferung). Dann könnte man den billigsten Anbieter wählen. Verisign ist echt verdammt teuer!

 

[server4downs]

Verisign ist natürlich ein "trusted" Anbieter. Dafür sind sie ja auch am teuersten ....

Interessant wäre es zu wissen, welche Anbieter alles von Haus aus trusted sind (also direkt mit Browser Auslieferung). Dann könnte man den billigsten Anbieter wählen. Verisign ist echt verdammt teuer!

Na dann ma viel Spasss
Beim IE:
Extras-->Internetoptionen-->Inhalte>>Zertifikate
Da haste ne GROßE Liste!
Ansonsten Hilft Prof. Dr. Google auch gerne weiter.. ich glaub bei den sponsored links gibt´s ein paar "preiswerte"

 

[cretter]

Guten Morgen,

nochmals was zu meiner SSL-Geschichte:

Conifxx kann ich ja jetzt nicht mehr auf SSL umleiten, nachdem ich die SSL-Verbindung ja schon für eine andere Sache benütze, oder?

 

[Huschi]

Conifxx kann ich ja jetzt nicht mehr auf SSL umleiten, nachdem ich die SSL-Verbindung ja schon für eine andere Sache benütze, oder?

Theoretisch nicht, praktisch gehts aber. Du mußt aber auf jeden Fall das selbe Cert verwenden, sonst haut gar nichts mehr hin. Der Browser wird Dich nur jedesmal darauf aufmerksam machen, das dieses Cert zu einer anderen Domain gehört. Das kann man auch nicht abschalten.

huschi.

 

[cretter]

Und wie geh' ich da jetzt vor? Ich dachte ich kann keinen zweiten SSL-Virtualhost anlegen....

 

[Huschi]

Können tut man viel. Schlucken tut Apache das ebenfalls. Die Probleme entstehen ja nicht durch den Apache-Server, sondern durch die Grundlagen von https. Da mod_ssl lediglich ein Modul ist, kann der Apache-Server auch keine Fehlermeldung ausspucken.
Die Grundlage ist einfach die:
SSL führt erst ein Handshake aus zwischen dem Client und dem Server. Zu der Zeit ist alles IP basiert. Zu diesem Zeitpunkt wird das Cert übergeben/verglichen. Hier ist die Domain erst dem Client bekannt, weil Du sie ihm als URL eingetippt hast. D.h. hier kann nur der Client meckern. Erst dann wird der http-Request übertragen, und ab dann erfährt Apache, welche Domain angesprochen wird.

Die vorgehensweise ist wie beim anderen SSL-vhost. Wichtig ist, daß es das selbe Cert ist, sonst erhälst Du einen undefinierten Zustand, in dem das mod_ssl nicht weis, welches Cert er beim Handshake aushändigen soll.

huschi.

 

[cretter]

So, hier nochmal der code von Laury. Kann ích den jetzt einfach so in die httpd.conf einhacken (natürlich mit abgeänderten Adressen und IP's und Confixx funzt nur noch mit SSL? Das wars schon? kann ich mir net vorstellen, oder?


# Confixx SSL- Connect
<VirtualHost xx.xx.xxx.xx:443>
ServerName ssl.123456.vserver.de
ServerAlias ssl.123456.vserver.de
#User confixx
#Group confixxgroup
DocumentRoot /var/www/confixx/html
DirectoryIndex index.html index.htm index.shtml index.php index.cgi
php_admin_value safe_mode_exec_dir /var/www/confixx/bin
php_admin_value upload_tmp_dir /var/www/confixx/tmp
ScriptAlias /cgi-bin/ /var/www/confixx/html/cgi-bin/
CustomLog /var/log/httpd/123456.vserver.de_access.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""
ErrorLog /var/log/httpd/confixx/123456.vserver.de_error
SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
SSLVerifyClient none
<Location />
SSLRequireSSL
</Location>
</VirtualHost>
Include /etc/httpd/conf/confixx_vhost.conf
ServerTokens OS
# ^- It is imperative that this entry remain at the end of the file
## /CONFIXX

 

[Huschi]

Es reicht (wie in meinem ersten Posting auf Seite 1) folgende Zeilen in den Confixx-vhost zu übernehmen und eben den Port bei 'VirtualHost' auf 443 zu setzen:

SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key

Achte nur darauf, daß hier die selben Cert's benutzt werden wie in Deinem andern SSL-Vhost.

huschi.

 

[cretter]

Danke Huschi. Ich werd's heute Abend mal versuchen.

Gruß,
Carsten

 

[cretter]

Ich hab's jetzt mal getestet. Leider bekomm ich wieder ne Fehlermeldung.
Was könnte ich falsch gemacht haben?

[warn] VirtualHost 61.73.252.123:443 overlaps with VirtualHost 61.73.252.123:443, the first has precedence, perhaps you need a NameVirtualHost directive

 

[cretter]

Meine httpd.conf sieht jetzt am ende so aus:

## CONFIXX
<Directory "/var/www/confixx/html">
AllowOverride all
</Directory>
NameVirtualHost 61.73.221.147:443

<VirtualHost 61.73.221.147:443>
ServerName 211324.vserver.de
#User confixx
#Group users
DocumentRoot /var/www/confixx/html
php_admin_value safe_mode Off
php_admin_value safe_mode_exec_dir /var/www/confixx/bin
php_admin_value upload_tmp_dir /var/www/confixx/tmp
php_admin_value open_basedir none
SSLEngine on
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
ScriptAlias /cgi-bin/ /var/www/confixx/html/cgi-bin/
CustomLog /var/log/httpd/211324.vserver.de_access.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\""
ErrorLog /var/log/httpd/211324.vserver.de_error.log
</VirtualHost>

<VirtualHost 61.73.221.147:443>
ServerName ssl.domain.de
ServerAlias ssl.domain.de
DocumentRoot /var/www/web1/html/lui
SuexecUserGroup web1 ftponly
ScriptAlias /cgi-bin/ /var/www/web1/html/cgi-bin/
php_admin_value open_basedir /var/www/web1/:/var/www/html/phpmyadmin/:/var/www/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /var/www/web1/phptmp/
php_admin_flag safe_mode Off
SSLEngine ON
SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt
SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key
<Directory /var/www/web1/html/lui>
SSLRequire %{SERVER_NAME} eq "ssl.domain.de"
</Directory>
</VirtualHost>

Die Domain ssl.domain.de funzt immer noch perfekt. Auch https://211324.vserver.de funktioniert.

Was noch nervt: auch https://irgendwas.domain.de linkt jetzt auf confixx. Das will ich aber nicht.

Und: http://211324.vserver.de/phpmyadmin/ funktioniert nicht mit SSL.

Was muß ich noch abändern???

 

[cretter]

ich antworte mir mal selbst:

Natürlich muß ich bein confixx-vhost noch

<Directory /var/www/confixx/html>
SSLRequire %{SERVER_NAME} eq "211324.vserver.de"
</Directory>

einfügen.

Ein einziges problem hab ich jetzt noch:
PHPmyadmin ist immer noch unter http://211324.vserver.de/phpmyadmin/ ohne ssl verfügbar.

 

[Huschi]

PHPmyadmin ist immer noch unter http://211324.vserver.de/phpmyadmin/ ohne ssl verfügbar.

Dann setze es doch auf 'https'. Aber ich glaub, daß ist nicht das Problem, oder?
Schau mal in der httpd.conf oder confixx_vhost.conf, ob phpMyAdmin als Alias eingebunden ist. Dann würde dies nähmlich alle Domains betreffen.

huschi.

 

[cretter]

Mal was grundsätzliches.

Ist es denn vielleicht nicht sogar sinnvoll PHPmyAdmin ganz abzuschalten???
Weil ich kann mir ja theoretisch auf file-ebene die Datenbank vom Server ziehen. Dann lokal in meiner Entwicklungsumgebung (WAMPP2) einspielen, Änderungen vornehmen, und dann wieder das Mysql/data verzeichnis uploaden. Also brauch ich kein PHYmyAdmin. Und somit kann sich auch keiner einhacken und meine DB klauen oder verändern.

Was haltet ihr davon? Wir handhabt ihr das?

 

[Boum]

Hm... wenn auf dem Server in der Zeit keine Änderungen stattfinden, geht das sicherlich. Ansonsten hast Du das Problem, dass Du den dump zurückschreibst und dabei die letzten Sachen, die auf Deinem Server stattgefunden sind, rückgängig machst (also auf den Stand von vor dem ersten Dump)...

Ich habe neben dem SSL noch einen HTTP-Auth davorgebaut, um allzu neugierige mit einem anderen Problem zu beschäftigen...

 

[cretter]

stimmt ein http-auth würde das Problem ja auch lösen

 

[cretter]

Jetzt hab ich gerade das Verzeichnis

"/var/www/html/phpmyadmin" mit .htaccess geschützt.
Leider ohne Erfolg. Man kann immer noch unter http://12345.vserver.de/phpmyadmin reinkommen. Welches Verzeichnis ist denn bitteschön dann der Einstieg für PHPmyAdmin???

 

[soliture]

PhpMyAdmin verstehen

Setze $cfg['PmaAbsoluteUri'] = ''; in der config.inc.php
auf 'https://ssl.domain.tld/phpmyadmin'
und die liebe Seele hat Ruh!

Viel Spaß