Linux.fi ja Let's Encrypt


#1

Linux.fi on päässyt mukaan Let’s Encrypt TLS-sertifiointiauktoriteetin betatestaukseen. Tämän ansiosta sekä wikiin että foorumille pääsee nyt myös HTTPS-yhteydellä. Tarkoitus olisi tarkkailla homman toimintaa tässä lähipäivät, ja jos kaikki menee hyvin, alkaa palvella yleisöä pelkästään HTTPS:n yli. Kokeilkaapa noita suojatulla yhteydellä toimivia urleja ja ilmoitelkaa miten meni, eritoten jos jokin ei toimi.

Kiitos kaikille ja hyvää syksyä!


#2

Vihdoinkin, tätä on odotettu jo pitkään!

Sähköposteissa näyttää olevan yhä http-osoite ja seuraavat vaiheet (sähköpostien korjaamisen jälkeen) kai olisivat:

  1. HSTS Linux.fi:lle ja foorumille.
  2. HTTPn automaattinen uudelleenhjaus HTTPSksi.
  3. HSTS Preload-listaan lähetys (vaatii 1. & 2.)

Muita (kuin HSTS) turvallisuuteen liittyviä otsakkeita voisi kai myös hyvä lisäillä.

SSLLabsin mukaan taas TLS-puolella on parantamisen varaa, esimerkiksi POODLE ja FREAK ja mitä muuta EXPORTtiin liittyvää olikaan tulevat havaituksi.


#3

Haa, kiitos vinkeistä! Täytyy lähteä näitä toteuttamaan sitten kun on todettu, ettei tämä nykyinen https-järjestely ja sertifikaatti aiheuta kenellekään ongelmia. Mutta vaikuttaa fiksuilta jutuilta, pitääpä ottaa hoidettavaksi.


#4

Linuxissa Firefoxilla toimii loistavasti. Ainostaan ie:llä Windows Phonella valittaa sertifikaatista.


#5

Eilen ohjasin kaiken liikenteen https:ään. Tänään kytkin HSTS:n päälle, vedin kryptoalgoritmiasetukset Mozillan generaattorin intermediate-tason mukaiseksi ja ilmoitin linux.fi:n HSTS preload-listalle. Se on nyt menoa :slight_smile: .


#6

Ja SSL Labs antaa molemmille sivuille A+aa :smile:

securityheaders.io taisi jäädä vähemmälle huomille.


#7

No kyllä minä senkin vilkaisin läpi, mutta kun en niiden implikaatioita tiedä tarkemmin, niin en ehtinyt vielä pohtimaan, miten ne kannattaisi konfiguroida. Näillä headereilla taitaa olla taipumuksena mennä välimuistiin, niin asiaa saattaa olla hankalakin korjata. Tuumasin, että mietitään läpi ennenkö rikotaan :smile:


#8

Etusivulla ei toimi RSS-syötteen lataaminen osoitteesta https://foorumi.linux.fi/latest.rss
epäonnistui: HTTP-pyyntö epäonnistui tuntemattoman virheen takia.


#9

Sitä on kyllä irkin puolella mietitty, mutta tietääkseni kukaan ei ole keksinyt mistä se tarkalleen johtuu.


#10

Kiitoksia lahtikselle tarkkaavaisuudesta, ja asia on kuten oselotti sanoi.

En ole keksinyt, mihin tuo RSS-liitännäinen lokittaa virheensä, vai lokittaako mihinkään. Yksi mahdollisuus on, että PHP:n käyttämä juurivarmennelista ei luota tuohon Let’s Encryptin cross-signing toimittajaan, mistä johtuisi sitten TLS-virhe ja yhteys jää muodostumatta. Ei ole ollut nyt oikein aikaa syventyä asiaan tarkemmin, mutta pitää jossain vaiheessa taas tutkia.

Seuraan foorumin keskusteluja, että rakentavat ehdotuksetkin tulevat kyllä perille asti.


#11

No niin, sain ongelman ratkaistua. En jaksanut selvittää php:n TLS-asiakkaan kiemuroita, kun muistin että foorumihan kuuntelee localhostissa myös salaamatonta http-porttia. Feedi toimii siis jälleen. Kiitoksia kaikille!


#12

Yön aikana Android-vehkeet ovat lakanneet luottamasta linux.fi:n sertifikaattiin, tai sitten konfiguraatiossa on jotain ongelmia. Ainakin kun puhelimella ja täbillä testasin niin kummatkin sanovat samaa.

NET::ERR_CERT_AUTHORITY_INVALID


Varmenne ainakin täsmää, eli hyökkääjä ei ole voinut siepata verkkoyhteyttäni. :wink:


#13

Asiahan korjautui käden käänteessä. Jos jollain on ongelmia https-yhteyden kanssa varsinkin mobiiliselaimilla niin kannattaa mainita täällä foorumilla tai #wikilinux @ IRCnet -kanavalla.


#14

Mikä ongelman siis aiheutti?


#15

Akregator alkoi valittamaan RSS-syötteiden varmenteesta pari päivää sitten, mutta nyt tuntuu taas toimivan.
Siis nämä:
https://foorumi.linux.fi/latest.rss
https://foorumi.linux.fi/posts.rss
Firefox kylläkin sanoo edelleen noista että “Connection is Not Secure” eikä lukonkuvaa näy.

edit: ja linkit ei edellenkään toimi, copypastella selaimeen tai RSS-lukijaan niin toimii.


#16

@Maakuth nyt osaa kertoa paremmin, mutta ongelma oli kuulemma palvelimen konfiguraatiossa liittyen cert chainiin. Muutos tapahtui pari päivää sitten, joten tuo varmaan johtui siitä.

Laitoin aluksi foorumille viestiä kun ajattelin että tämä saattaisi olla asiakaspuolen ongelma, mutta onneksi ei ollut.

Mielestäni tuo on Firefoxin “ominaisuus” koska muillakin XML-sivuilla tapahtuu sama juttu. Kun testasin katsoa muita syötteitä, niin Firefoxilla ei näy lukkoa, mutta Chromella näkyy. Vertaa esimerkiksi näitä:


#17

Arvaan. että palvelin mainosti vain omaa certifikaattiaan ja unohti mainostaa LEn juurta tai välissä olevia certifikaatteja ja toimi siksi vain selaimilla, jotka olivat käyneet jollakin oikeinsäädetyillä LE-certifikaattia käyttävillä verkkopalvelimilla?