kostenfreie TLS-Zertifikate mit Let's Encrypt

von Georg Mimietz | Mrz 22, 2017 | Security, Linux, Web Services, GitLab

Let’s Encrypt hat seit gut einem Jahr die Testphase verlassen und verteilt fleißig Zertifikate – kostenfrei versteht sich. Wo anfangs in der Testphase „nur“ wenige Millionen Zertifikate ausgegeben wurden, ist diese Zahl inzwischen kräftig gewachsen – Tendenz steigend. WordPress und andere Dienste setzen Let’s Encrypt in breitem Maße ein um das Internet ein bisschen besser (sicherer) zu machen.
Neben der reinen Absicherung der Verbindung hilft ein Zertifikat noch beim Ranking und dem lästigen Wegklicken von Sicherheitswarnungen bei selbstsignierten Zertifikaten, beispielsweise bei Testumgebungen. Chrome bemängelt seit der Version 39 auch die Sicherheit von normalen HTTP-Verbindungen und kennzeichnet diese als „nicht sicher“.
Die Zertifikate von Let’s Encrypt sind nicht besser oder schlechter als andere Zertifikate – nur kosten sie nichts und sind nicht so lange gültig – durch Automatismen zur Erneuerung eher ein Vorteil als ein Nachteil. Bei Let’s Encrypt gibt es keine Wildcard- oder EV-Zertifikate, wenn der Wunsch nach diesen besteht, greift man lieber zu kommerziellen Produkten. Auch wenn die Validierung mehr Sicherheiten bringen soll, als eine Domain-Validierung (hier wird ein Hash in einem vhost hinterlegt und von Let’s Encrypt geprüft), wird einem ein kommerzielles Produkt nahe gelegt.
Also eignen sich die Zertifikate für folgende Anwendungsfälle: Basisabsicherung von Diensten, wo sonst keine Verschlüsselung unbedingt notwendig wäre (z. B. WordPress-Blog), Absicherung von Staging-Systemen, Absicherung als kostenfreie Zugabe des Hosters, Absicherung von internen Diensten und zur Absicherung von privaten Websiten.
Aber wie kommt man nun zu den Zertifikaten?
Hier gibt es verschiedene Wege, allerdings gehe ich nur kurz auf die Command-Line basierte Beantragung ein. Dafür wird von Let’s Encrypt selbst der Certbot empfohlen, der bringt alles mit.
Nach dem Download / der Installation des Certbots (hier kommt es auf die Distribution an) kann dieser mittels dem einfachen Aufrufs

./certbot-auto

starten. Jetzt werden die weiteren Abhängigkeiten noch aus dem jeweiligen Paketmanager nachinstalliert. Ein Wizard startet und fragt welche Domains abgesichert werden sollen und ob ein automatischer (sicherer) redirect von HTTP auf HTTPS erfolgen soll (Hierzu werden Rewrite-Rules in der VHost-Config angelegt). Der Rest geht von alleine, eine CSR wird erstellt, ein vhost für die Domain-Validierung wird angelegt, es wird von extern gecheckt, ob der String im vhost erreichbar ist, Zertifikat wird ausgeteilt und gleich eingerichtet.
Achtung, nachdem der Wizard angestoßen wurde, wird mehrfach der Webserver neugestartet und Configfiles verändert. Für eine alternative Beantragung mit mehr Eigenverantwortung bitte die Hinweise zu certonly und webroot lesen.
Zertifikat nur 90 Tage gültig – was tun?
Die TLS-Zertifikate von Let’s Encrypt sind nur 90 Tage gültig. Die Beweggründe hierfür sind unterschiedlich. Aber aus meiner Sicht ist dies ein wesentlicher Sicherheitsvorteil. Damit es zu keinen Zertifikatsfehlern kommt, heißt es hier im richtigen Moment die Erneuerung der Zertifikate anzustoßen. Denn ein neues Zertifikat bekommt man erst kurz vor Ablauf des alten Zertifikates. An dieser Stelle komme ich an die vormals angesprochenen Automatismen zurück. So reicht es eigentlich täglich 1-2x einen Cron laufen zu lassen:

./certbot-auto renew

Durch dieses Kommando schaut der Certbot beim jeweiligen Lauf des Crons, ob das Zertifikat in Kürze abläuft. Wenn ja, wird ein neues Zertifikat beantragt und hinterlegt, wenn nicht meldet sich der Certbot nur mit einer kurzen Meldung im Log:

INFO:certbot.renewal:Cert not yet due for renewal

Auch hier sicherheitshalber nochmal der Hinweis, dass alle Abhängigkeiten beim renew aktualisiert werden (zu vermeiden mit dem –no-self-upgrade Flag). Desweiteren wird auch wieder ein vhost angelegt und der Webserver-Dienst durchgestartet.
Auch unsere Kunden mit komplexen Setups hinter Loadbalancern und HA-Clustern können von Let’s Encrypt profitieren – wir bauen hierzu die passende Lösung.
Freuen wir uns auf die nächsten Jahre, der wichtigste Schritt wurde bereits gemacht. Wer bei uns Kunde ist, kann schon heute von diesem tollen Service profitieren.

NETWAYS legt noch einen drauf – einen kostenlosen Chromecast!

von Georg Mimietz | Apr 24, 2014 | Nagios, Mac, Linux, Windows, Hardware, Icinga

Da wir von NETWAYS meinen, wir haben die besten Kunden der Welt, bekommen diese nun etwas von uns zurück – einen Google Chromecast. Zwar kann man diesen auch regulär bei uns im Shop kaufen, jedoch bekommen alle Besteller im Shop mit einem Nettobestellwert ab 1.000,00 € einen Chromecast KOSTENLOS dazu. Warum verkauft NETWAYS überhaupt Chromecasts? Ein gutes Beispiel dafür ist Dashing – NETWAYS Betreibt selber einige Dashboards, damit alle Mitarbeiter sofort sehen was los ist. Der Chromecast eignet sich optimal dazu, den Dashboard-Tab auf den jeweiligen TV in der Abteilung zu bringen. Natürlich kann man noch andere Sachen mit dem Chromecast machen – aber das ist ja jedem selbst überlassen. Auch nett anzusehen: Icinga Web mit dem Tab-Slider!
Wie es genau funktioniert:

Unseren Online-Shop besuchen
Waren für mind. 1.000,00 € netto aussuchen und in den Warenkorb legen
Chromecast in den Warenkorb legen
im Warenkorb den Gutscheincode „NETWAYS-Chromecast“ eingeben
Bestellung absenden
über kostenlosen Chromecast freuen

Bedingungen: Nur auf Bestellungen ab 22.04.2014 anwendbar, keine Auszahlungen des Gutscheinwertes, nur solange der Vorrat reicht, Anspruch nur wenn der Chromecast in den Warenkorb gelegt wurde und der korrekte Gutschein-Code eingegeben wurde. Nur ein Chromecast je bestellendem Kunde+Tag. Keine rückwirkende Anwendung auf vergangene Bestellungen. Nur für Bestellungen über das Shop-System. Bei einer Warenrücksendung ist der Chromecast Bestandteil der reibungslosen Rückabwicklung. NETWAYS kann nach eigenem Ermessen die Vergabe kostenloser Chromecasts verweigern. Der Rechtsweg ist ausgeschlossen!

Die Entscheidung fällt nicht leicht! Wir brauchen eure Hilfe

von Georg Mimietz | Feb 14, 2013 | Partner, Hardware, Web Services, Team

Vielen Dank für die doch recht große Anteilnahme an unserem Server-Gewinnspiel. Ihr macht es uns nicht leicht, weil wirklich jede Menge tolle Gedichte dabei sind.
Deshalb haben wir uns kurzer Hand entschieden, die Community den Gewinner auswählen zu lassen. Wir haben uns mal die besten Gedichte raugesucht:
Der Gewinner steht dann nächste Woche Montag (18.02.2013) um 11:00 Uhr fest und kann die Server gleich abholen, bzw. werden diese noch am gleichen Tag verschickt. Gewinner ist derjenige, der die meisten Votes auf sein Gedicht bekommt.
[poll id=“4″]
Gedicht 1:
Suchst du guten Linux Blog,
mit vielen Tipps, ganz tiptop.
Abonniere den von Netways,
There is something, always!
Gedicht 2:
Wohin mit dem Gedicht?
“Info über MySQL, Puppet, Debian
hole ich mir bei Christian.
Der arbeitet bei der Netways GmbH
und da mach ich beim Gewinnspiel mit
Und jetzt ist kein großer Schritt
hier ist das Gedicht,
die Server nehm ICH mit.”
Gedicht 3:
Wenn der Admin leise wimmert
Die Datenbank am Abgrund schlingert
Die Hardware hat Sand im Getriebe
Wo ist nur das Know-How gebliebe’?
Da bleiben nur die Netways-Elfen
Die auch dem Dümmsten freundlich helfen
Geduldig lang und breit beraten
Und nebenbei den Server warten
Zum Valentin zwar keine süßen Sachen
Dafür zwei Server zum rummachen
Denn glücklich sein soll ja jeder sein
Drum stell ich jetzt besser das dichten ein!
Gedicht 4:
Bei Netways das ist klar,
da sind alle wunderbar.
Programmierer, Consultants usw.
Ist das Leben da nicht heiter.
Jeden Tag zur Arbeit rennen,
damit die Server nicht verbrennen.
Notfall hier ein Unfall dort,
schon sind die Mitarbeiter hier vor Ort.
Sind dann alle Server am Laufen,
gehen die Mitarbeiter auch mal saufen.
Ein Event das andre jagd,
damit niemand gar verzagt.
Der Mitarbeiter am Abend weiss,
was er getan hat mit viel Fleiss,
dann geht er ganz schnell fort,
an einen viel schöneren Ort.
Gedicht 5:
Das Dichten fällt mir heut schwer !
Darum nehme ich jetzt mein Computer her.
Und suche im Internet nach einem Weg
wo steht wie das Dichten geht!
Gedicht 6:
Netways is ne super Truppe,
die man einfach mögen muss.
Andre Hoster sind mir Schnuppe,
Service ist das große Plus.
Server-Cluster, Datenbanken,
Monitoring und die Cloud:
Nichts weist euch in eure Schranken,
Nichts, was euch vom Hocker haut.
Doch, oh weh, was muss ich lesen?
Eure Server sollen gehn?
Gestern noch so gut gewesen,
Jetzt: “Auf Nimmerwiedersehn”.
Dieses Schicksal rührt mich sehr,
Und so setz ich Reim an Reim.
Liebe Server kommt nur her
in unser Server-Altenheim.

Server zu gewinnen!

von Georg Mimietz | Feb 7, 2013 | Team, Hardware, Web Services

NETWAYS macht mal wieder die unglaublichsten Sachen. Diesmal verschenken wir Server! Die Server sind NICHT abgebrannt oder funktionieren nicht mehr, nein es alles ist noch in Ordnung, wir brauchen sie einfach nicht mehr. Was wollen wir dafür haben? NICHTS – nur ein kleines, kreatives Gedicht welches sich rund um NETWAYS dreht. Einzige Spielregel: das Wort Gays darf nicht darin vorkommen 🙂 Das Beste Gedicht wird zum Valentinstag ausgewählt und der Gewinner bekommt die Server. Also Mädels ran an den Speck, damit könnt ihr euren Männern eine echte Freude machen.
Es handelt sich hier um 2 TKS Supermicro 2HE Server mit folgenden technischen Details:

Abbildung ähnlich.

CPU: Intel Xeon CPU@ 3.00 GHz x4
19″ Format
RAM: 4 GB
HDD: 750 GB (3x 250 GB)
Marken Raid Controller
Intel Server-Mainboard SE7320VP2D2

Performance reicht nicht aus? Schaut doch mal beim NETWAYS Startup Hosting vorbei. Da kann jeder die Server haben, die er will.
Die Server sind dann innerhalb einer Woche bei uns im Office abzuholen. Gerne verschicken wir auch innerhalb Deutschlands gegen eine Pauschale von 23,80€ (inkl. MwSt). Die Rechnung gibt’s dann natürlich auch noch oben drauf.

Wer kann mitmachen?

Jeder! egal, ob Kunden, Interessenten, Privatleute, Familienmitglieder usw. wir lassen uns vom besten Gedicht überzeugen, gerne können auch mehrere Gedichte je Mitspieler eingereicht werden. Bitte einfach die Kommentarfunktion unter dem Artikel nutzen.
Bitte beachtet: Es werden gleich beide Server an einen Gewinner abgegeben, dies reduziert bei uns den Aufwand für die Versandabwicklung. Die Server werden nur komplett (also nicht in Einzelteilen) abgegeben. Bitte die E-Mail Adresse mit angeben, diese ist nur für uns sichtbar und die brauchen wir, um mit dem Gewinner Kontakt aufzunehmen. Ist ein Versand gewünscht, brauchen wir noch die Adresse des Gewinners, diese wird separat per Mail angefordert und nur für den Versand bei uns intern verarbeitet.

Kostenloser Vortrag von Kristian Köhntopp im Stream der OSMC 2009

von Christian Fiedler | Sep 3, 2009 | OSMC

Wie in jedem Jahr werden auch 2009 die Vorträge des Haupttracks der „Open Source Monitoring Conference“ von unserem Partner, dem Linux Magazin, live ins Internet übertragen bzw. im Nachgang beide Tracks für alle Konferenzteilnehmer im Archiv zur Verfügung gestellt. In diesem Jahr gibt es allerdings zum ersten Mal eine Neuerung.
Als kleines Highlight haben wir uns in Zusammenarbeit mit dem Linux Magazin entschlossen, den Vortrag der Konferenz, welcher vom bekannten MySQL Profi Kristian Köhntopp zum Thema „Monitoring MySQL“ gehalten wird, komplett kostenfrei für alle Interessierten live ins Internet zu übertragen.
Jeder der sich einen Eindruck von der Konferenz verschaffen will hat damit die Möglichkeit, kostenfrei einfach mal hineinzuschnuppern. Am Besten also direkt den 28.10.2009, 09.00 Uhr rot im Kalender markieren und die Seiten des Linux Magazins Livestreamings bookmarken.
Wir freuen uns über viele Zuschauer!