• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] SSL-Zertifizierungstelle Let's Encrypt kann bald die Arbeit aufnehmen

Die SSL-Zertifizierungstelle Let's Encrypt, welche durch die gemeinnützige Organisation Internet Security Research Group (ISRG) und diversen Sponsoren wie Mozilla, EFF, oder Cisco ist Leben gerufen wurde steht kurz davor den offiziellen Betrieb aufzunehmen. Let's Encrypt will ab Mitte 2015 allen interessierten Serverbetreibern ein kostenloses, von den Browsern sofort akzeptiertes TLS-Zertifikat anbieten. Vor kurzem wurden die hierfür nötigen Wurzelzertifikate erstellt.

Die Zertifikate der Nutzer werden über Zwischenstelle (Intermediate CA) ausgestellt, was der üblichen Praxis entspricht damit das Wurzelzertifikat offline bleiben kann. Die Zwischenzertifikate werden von Identrust (einem Dienstleister im Bankensektoren dessen Zertifikate in jedem gängigen Browser als vertrauenswürdig eingestuft werden) signiert. Somit sollte eine Seite die mit einem Zertifikat von Let's Encrypt versehen ist, ohne Eingreifen der Besucher mit https funktionieren. Let's Encrypt wird aber dennoch versuchen als das Wurzelzertifikat als vertrauenswürdig in den gängigen Browsern unterzubringen.

Vorerst werden RSA-Schlüssel verwendet. Diese sollen aber von ECDSA abgelöst werden. Auf der Seite des Seitenbetreibers sollen unter Linux zwei Befehle ausreichen um das Zertifikat zu erstellen. Einmal die Installation des Pakets lets-encrypt und anschließend mit dem Befehl lets-encrypt example.com (example.com steht hier für die betreffende Domain für die das Zertifikat ausgestellt werden soll). Mehr soll nicht nötig sein. Den genauen Ablauf kann man unter https://letsencrypt.org/howitworks/ nachlesen.

Quelle: Golem.de und Letsencrypt.org
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Cronjob alle 30 Tage:

renew.sh
[src=text]
# Renew Let's Encrypt SSL cert

ERRORLOG=`tail /var/log/letsencrypt/letsencrypt.log`

cd /DEINPFAD/letsencrypt/
./letsencrypt-auto --config /DEINPFAD/letsencrypt/cli.ini -d www.domain1.org -ddomain2.org certonly

if [ $? -ne 0 ]
then
sleep 5
echo -e "The Lets Encrypt Cert has not been renewed! \n \n" $ERRORLOG | mail -s "Lets Encrypt Cert Alert" DEINEMAILADRESSE
else
service apache2 reload
fi

exit 0

[/src]

cli.ini
[src=text]
# This is an example of the kind of things you can do in a configuration file.
# All flags used by the client can be configured here. Run Let's Encrypt with
# "--help" to learn more about the available options.

# Use a 4096 bit RSA key instead of 2048
rsa-key-size = 4096

# Always use the staging/testing server
server = https://acme-v01.api.letsencrypt.org/directory

# Uncomment and update to register with the specified e-mail address
email =DEINEMAILADRESSE
text = True
agree-dev-preview = True
agree-tos = True
verbose = True
renew-by-default
# Uncomment to use a text interface instead of ncurses
# text = True

# Uncomment to use the standalone authenticator on port 443
# authenticator = standalone
# standalone-supported-challenges = tls-sni-01

# Uncomment to use the webroot authenticator. Replace webroot-path with the
# path to the public_html / webroot folder being served by your web server.
# authenticator = standalone
# webroot-path = /usr/share/nginx/html
authenticator = webroot
webroot-path = /DEINPFAD/
[/src]

Habe mir das hier so zusammengeschustert und das sollte überall funktionieren. Alle 30 oder 60 Tage laufen lassen und fertig. Wenn was schief geht, gibt es eine Mail und man muss sich um nichts mehr kümmern.
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Ich nutze es zwar gerade auch nicht mehr, weil mir der Client nicht gefällt, aber man muss ja nicht den Standalone Webserver nutzen (in meiner Config oben wird er verwendet). Der Nachteil an der anderen Version ist, dass der Webserver zum Renew sonst kurz gestoppt werden muss. Finde ich aber jetzt auch nicht unbedingt dramatisch. Whatever, der Client ist wirklich nicht toll. Dafür ist halt alles kostenlos und soviel davon wie man mag. Da ist das schon meckern auf sehr hohem Niveau finde ich.

Was das Audit angeht: Sie haben ja noch Zeit und werden sich sicherlich daran halten. Finde ich jetzt nicht so wild ehrlich gesagt.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Wenn man vergleicht wie lange andere Kooperationen für solche Projekte von der Planung bis zum GoLive brauchen ist das eh schon rekord zeit - und der Client wird ja weiter entwickelt.
fefe jammert eh an allem rum - er *muss* ja nicht python installieren - er kann sich ja auch ein normales Zertifikat bei Verisign kaufen ^^

Das mit den Terminen ist zwar *blöd* - aber ich sehe die Vertraulichkeit jetzt nicht wirklich gefedert - ist ja nicht so das Let`s Encrypt *irgendwer* ist - sondern große Firmen dahinter stehen. Wenn nun eine gerade eben neu gegründete Ltd. eine CA aufbauen wollen würde... inhaber und Anteilseigner unbekannt... dann würde ich mir mehr sorgen machen.

Alles in allem bleibt das eine geniale Sache und ein ambitioniertes Projekt... das es die ein oder anderen "Neider" geben wird - war klar ^^
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #45
Problematisch finde ich eigentlich nur die Sache mit dem Audit und der damit vorhandenen Gefahr dass eventuell das Zertifikat erst einmal widerrufen wird (auch wenn ich davon ausgehe, dass nichts schief gehen wird). Das mit dem Client ist mir ehrlich gesagt egal. Genauso was Fefe mitzuteilen hat. Zumal es inzwischen ja auch schlankere Alternativen des Clients gibt.
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
  • Thread Starter Thread Starter
  • #49
Trend Micro hat einen Fall entdeckt bei dem böse Jungs ein Zertifikat von Let's Encrypt missbraucht haben. Ryan Hurst (nein nicht der Schauspieler) hat darauf mit einem, meiner Meinung nach sehr guten, Artikel reagiert.
 

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Bei meinen Tests mögen die Browser die Zertifikate nicht ist das normal bei der offenen Beta?

Edit:
Scheint am Firefox zu hängen.
 
Zuletzt bearbeitet:

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Dann hast du denke ich einen Fehler gemacht. Klappte bei mir überall.
 

HanZ

Aktiver NGBler

Registriert
16 Juli 2013
Beiträge
1.057
Ich bekomme leider immer folgenden Fehler. Bisher gibt es auch keine Lösungsvorschläge dafür. Jemand eine Idee, woran das liegt?

Code:
./letsencrypt-auto certonly --rsa-key-size 4096 -d MEINEDOMAIN.net -d www.MEINEDOMAIN.net
Checking for new version...
Requesting root privileges to run letsencrypt...
   sudo /home/x/.local/share/letsencrypt/bin/letsencrypt certonly --rsa-key-size 4096 -d MEINEDOMAIN.net -d www.MEINEDOMAIN.net
[sudo] password for x: 
Failed authorization procedure. MEINEDOMAIN.net (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Correct zName not found for TLS SNI challenge. Found '', www.MEINEDOMAIN.net (tls-sni-01): urn:acme:error:unauthorized :: The client lacks sufficient authorization :: Correct zName not found for TLS SNI challenge. Found ''

IMPORTANT NOTES:
 - The following errors were reported by the server:

   Domain: MEINEDOMAIN.net
   Type:   unauthorized
   Detail: Correct zName not found for TLS SNI challenge. Found ''

   Domain: www.MEINEDOMAIN.net
   Type:   unauthorized
   Detail: Correct zName not found for TLS SNI challenge. Found ''

   To fix these errors, please make sure that your domain name was
   entered correctly and the DNS A record(s) for that domain
   contain(s) the right IP address.
 
Zuletzt bearbeitet:

mighty night

Neu angemeldet

Registriert
15 März 2016
Beiträge
148
Ort
Welt
Mir persönlich zu aufwendig, da zahle ich halt bei GoDaddy für ein Wildcard Zertifikat ein paar hunderter und habe dafür für 3 Jahre ruhe. Da bin ich halt bequem und faul.
 

eraser

Stinkstiefel

Registriert
21 Juli 2013
Beiträge
3.775
Die Arbeit um das Zertifikat einzurichten mit dem Autoinstaller, wenn man sich auskennt beläuft sich vielleicht auf 10 Minuten. Dann kann man noch per Cronjob ein Script zur automatischen Erneuerung einbauen und hat nie wieder etwas zu machen für Lau.

Solltest du jemals Zertifikate brauchen, gib mir die "paar hunderter". Ich mach dir das gerne.

@Hanz: Dein Problem steht doch klar und deutlich in der Fehlermeldung.
 

HanZ

Aktiver NGBler

Registriert
16 Juli 2013
Beiträge
1.057
@eraser: Nunja... Domain stimmt, DNS A-Record laut Anbieter auch. Oder siehst du was, was ich nicht sehe?
 
Oben