Linux.fi ja Let's Encrypt

Maakuth · Marraskuu 4, 2015, 7.44pm

Linux.fi on päässyt mukaan Let’s Encrypt TLS-sertifiointiauktoriteetin betatestaukseen. Tämän ansiosta sekä wikiin että foorumille pääsee nyt myös HTTPS-yhteydellä. Tarkoitus olisi tarkkailla homman toimintaa tässä lähipäivät, ja jos kaikki menee hyvin, alkaa palvella yleisöä pelkästään HTTPS:n yli. Kokeilkaapa noita suojatulla yhteydellä toimivia urleja ja ilmoitelkaa miten meni, eritoten jos jokin ei toimi.

Kiitos kaikille ja hyvää syksyä!

Mikaela · Marraskuu 4, 2015, 8.53pm

Vihdoinkin, tätä on odotettu jo pitkään!

Sähköposteissa näyttää olevan yhä http-osoite ja seuraavat vaiheet (sähköpostien korjaamisen jälkeen) kai olisivat:

HSTS Linux.fi:lle ja foorumille.
- https://scotthelme.co.uk/hsts-the-missing-link-in-tls/
HTTPn automaattinen uudelleenhjaus HTTPSksi.
- https://www.sslshopper.com/apache-redirect-http-to-https.html
- http://www.cyberciti.biz/faq/linux-unix-nginx-redirect-all-http-to-https/
HSTS Preload-listaan lähetys (vaatii 1. & 2.)
- https://hstspreload.appspot.com/

Muita (kuin HSTS) turvallisuuteen liittyviä otsakkeita voisi kai myös hyvä lisäillä.

SSLLabsin mukaan taas TLS-puolella on parantamisen varaa, esimerkiksi POODLE ja FREAK ja mitä muuta EXPORTtiin liittyvää olikaan tulevat havaituksi.

Maakuth · Marraskuu 4, 2015, 8.59pm

Haa, kiitos vinkeistä! Täytyy lähteä näitä toteuttamaan sitten kun on todettu, ettei tämä nykyinen https-järjestely ja sertifikaatti aiheuta kenellekään ongelmia. Mutta vaikuttaa fiksuilta jutuilta, pitääpä ottaa hoidettavaksi.

lahtis · Marraskuu 8, 2015, 4.53pm

Linuxissa Firefoxilla toimii loistavasti. Ainostaan ie:llä Windows Phonella valittaa sertifikaatista.

Maakuth · Marraskuu 10, 2015, 5.01pm

Eilen ohjasin kaiken liikenteen https:ään. Tänään kytkin HSTS:n päälle, vedin kryptoalgoritmiasetukset Mozillan generaattorin intermediate-tason mukaiseksi ja ilmoitin linux.fi:n HSTS preload-listalle. Se on nyt menoa .

Mikaela · Marraskuu 10, 2015, 6.13pm

Ja SSL Labs antaa molemmille sivuille A+aa

securityheaders.io taisi jäädä vähemmälle huomille.

Maakuth · Marraskuu 10, 2015, 7.04pm

No kyllä minä senkin vilkaisin läpi, mutta kun en niiden implikaatioita tiedä tarkemmin, niin en ehtinyt vielä pohtimaan, miten ne kannattaisi konfiguroida. Näillä headereilla taitaa olla taipumuksena mennä välimuistiin, niin asiaa saattaa olla hankalakin korjata. Tuumasin, että mietitään läpi ennenkö rikotaan

lahtis · Marraskuu 20, 2015, 10.38am

Etusivulla ei toimi RSS-syötteen lataaminen osoitteesta https://foorumi.linux.fi/latest.rss
epäonnistui: HTTP-pyyntö epäonnistui tuntemattoman virheen takia.

oselotti · Marraskuu 20, 2015, 12.25pm

Sitä on kyllä irkin puolella mietitty, mutta tietääkseni kukaan ei ole keksinyt mistä se tarkalleen johtuu.

Maakuth · Marraskuu 21, 2015, 3.21pm

Kiitoksia lahtikselle tarkkaavaisuudesta, ja asia on kuten oselotti sanoi.

En ole keksinyt, mihin tuo RSS-liitännäinen lokittaa virheensä, vai lokittaako mihinkään. Yksi mahdollisuus on, että PHP:n käyttämä juurivarmennelista ei luota tuohon Let’s Encryptin cross-signing toimittajaan, mistä johtuisi sitten TLS-virhe ja yhteys jää muodostumatta. Ei ole ollut nyt oikein aikaa syventyä asiaan tarkemmin, mutta pitää jossain vaiheessa taas tutkia.

Seuraan foorumin keskusteluja, että rakentavat ehdotuksetkin tulevat kyllä perille asti.

Maakuth · Marraskuu 24, 2015, 6.13pm

No niin, sain ongelman ratkaistua. En jaksanut selvittää php:n TLS-asiakkaan kiemuroita, kun muistin että foorumihan kuuntelee localhostissa myös salaamatonta http-porttia. Feedi toimii siis jälleen. Kiitoksia kaikille!

oselotti · Tammikuu 29, 2016, 6.36am

Yön aikana Android-vehkeet ovat lakanneet luottamasta linux.fi:n sertifikaattiin, tai sitten konfiguraatiossa on jotain ongelmia. Ainakin kun puhelimella ja täbillä testasin niin kummatkin sanovat samaa.

NET::ERR_CERT_AUTHORITY_INVALID

Varmenne ainakin täsmää, eli hyökkääjä ei ole voinut siepata verkkoyhteyttäni.

oselotti · Tammikuu 29, 2016, 6.57am

Asiahan korjautui käden käänteessä. Jos jollain on ongelmia https-yhteyden kanssa varsinkin mobiiliselaimilla niin kannattaa mainita täällä foorumilla tai #wikilinux @ IRCnet -kanavalla.

Mikaela · Tammikuu 29, 2016, 11.01am

Mikä ongelman siis aiheutti?

raimo · Tammikuu 29, 2016, 4.30pm

Akregator alkoi valittamaan RSS-syötteiden varmenteesta pari päivää sitten, mutta nyt tuntuu taas toimivan.
Siis nämä:
https://foorumi.linux.fi/latest.rss
https://foorumi.linux.fi/posts.rss
Firefox kylläkin sanoo edelleen noista että “Connection is Not Secure” eikä lukonkuvaa näy.

edit: ja linkit ei edellenkään toimi, copypastella selaimeen tai RSS-lukijaan niin toimii.

oselotti · Tammikuu 29, 2016, 5.29pm

@Maakuth nyt osaa kertoa paremmin, mutta ongelma oli kuulemma palvelimen konfiguraatiossa liittyen cert chainiin. Muutos tapahtui pari päivää sitten, joten tuo varmaan johtui siitä.

Laitoin aluksi foorumille viestiä kun ajattelin että tämä saattaisi olla asiakaspuolen ongelma, mutta onneksi ei ollut.

Mielestäni tuo on Firefoxin “ominaisuus” koska muillakin XML-sivuilla tapahtuu sama juttu. Kun testasin katsoa muita syötteitä, niin Firefoxilla ei näy lukkoa, mutta Chromella näkyy. Vertaa esimerkiksi näitä:

Mikaela · Tammikuu 30, 2016, 7.58am

Arvaan. että palvelin mainosti vain omaa certifikaattiaan ja unohti mainostaa LEn juurta tai välissä olevia certifikaatteja ja toimi siksi vain selaimilla, jotka olivat käyneet jollakin oikeinsäädetyillä LE-certifikaattia käyttävillä verkkopalvelimilla?