Ankündigung

Einklappen
Keine Ankündigung bisher.

ssl Zertifikat für dyndns-Domain

Einklappen
Dieses Thema ist geschlossen.
X
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • makki
    antwortet
    Zitat von En3rGy Beitrag anzeigen
    Es fragt sich also, wem du mehr vertraust, deinen Fähigkeiten oder der CA.
    Sehr treffende Antwort ! :-)

    Zitat von mivola Beitrag anzeigen
    Hm OK. Das sollte sich ja vermeiden lassen, wenn mir einer der hier anwesenden Profis einen Tipp gibt wie ich einen starken Schlüssel generiere ;-)
    Auf dem WG werden (private) Keys - Stand heutigem Wissen - sicher erstellt auch unter verwendung des (eher seltenen) HW-RNG. Wie das mit openssl geht, dafür gibts (ohne besondere, WG-spezifische, Bedienungs-Hinweise/Spezialitäten) hunderte Anleitungen im Web..

    Zum rewrite würde ich (ungetestet!) bitte auf Docs ModRewrite - Lighttpd - lighty labs verweisen. Das geht natürlich aber ich mags grad nicht für diesen Anwendungsfall nachlesen

    Makki

    Einen Kommentar schreiben:

  • mivola
    antwortet
    Zitat von En3rGy Beitrag anzeigen
    einen schwachen Schlüssel generiert
    Hm OK. Das sollte sich ja vermeiden lassen, wenn mir einer der hier anwesenden Profis einen Tipp gibt wie ich einen starken Schlüssel generiere ;-)

    Danke
    Micha

    Einen Kommentar schreiben:

  • En3rGy
    antwortet
    Zitat von mivola Beitrag anzeigen
    Rein verschlüsselungstechnisch/sicherheitsmäßig ist es ja egal ob das ein offizielles oder eigenes Zertifikat ist, oder?
    Kommt drauf an. Beim eigenen Zertifikat hast du das Risiko als Gelegenheitsnutzer unbewusst einen schwachen Schlüssel generiert zu haben. Beim extern generierten Schlüssel weißt du nicht, was damit geschieht.
    Es fragt sich also, wem du mehr vertraust, deinen Fähigkeiten oder der CA.

    Einen Kommentar schreiben:

  • mivola
    antwortet
    So, jetzt habe ich doch noch eine Frage bzgl SSL (aber weniger zu den Zertifikaten an sich):

    Ich möchte gern alle Aufrufe auf http (Port 80) weiterleiten zu https (Port 443). Allerdings nur, wenn diese nicht aus dem lokalen Netzwerk kommen. Unterscheidung kann also über $HTTP["remoteip"] oder $HTTP["host"] erfolgen. Beides habe ich ausprobiert und beides funktioniert soweit auch. Was nicht funktioniert ist das korrekte redirect-Statement. Problem ist, dass die URL von "http://sub.dyndns.org/visu" zu "https://visu" weitergeleitet wird. Irgendwie fehlt also der Hostname in der Adresse. Hier ist der entscheidende Part der lighttp.conf:

    Code:
    $HTTP["scheme"] == "http" {
    $HTTP["remoteip"] !~ "192\.168\.|172\.168\.|127.0.0.1" {
        url.redirect = (".*" => "https://%0/$0")
    }
}
    Kann mir jmd einen Tipp geben?

    Danke,
    Micha

    Einen Kommentar schreiben:

  • mivola
    antwortet
    Danke für die vielen Hinweise. Ich denke ich werde es erstmal damit probieren die Zertifikate in den Browser zu importieren. Rein verschlüsselungstechnisch/sicherheitsmäßig ist es ja egal ob das ein offizielles oder eigenes Zertifikat ist, oder?
    Meistens nutze ich die Visu ja sowieso von zu Hause (da geht es auch ohne SSL) oder über VPN. Leider kann mein altes Android-Handy kein openVPN - deshalb wäre es wohl das Gerät mit dem ich am meisten per https auf die Visu zugreife...

    Danke
    Micha

    Einen Kommentar schreiben:

  • yachti
    antwortet
    Bei startssl habe ich für meine Class2 Zertifikate ca 50 EUR gezahlt.
    die sind 2 Jahre gültig. es spielt keine Rolle wieviel Zertifikate man braucht auch Multidomain ist möglich.
    Ich finde das nicht zu teuer.
    Class 1 Zertifikate sind kostenlos.

    Ich bin bei startssl Notar falls es hier noch jemanden aus der Gegend gibt dann gern per PN. Im Sommer steht bei mir Rezertifizierung an.

    Einen Kommentar schreiben:

  • yachti
    antwortet
    Zitat von En3rGy Beitrag anzeigen
    Das Problem ist doch vermutlich nur, dass der Browser der eigenen RootCA nicht vertraut. Aber hier kann man doch das eigene Zertifikat importieren...
    Bei mir mault kein Browser mehr 😊

    Ist das nicht ausreichend?
    solange das Zertifikat nicht öffentlich gebraucht wird schon

    Einen Kommentar schreiben:

  • En3rGy
    antwortet
    Das Problem ist doch vermutlich nur, dass der Browser der eigenen RootCA nicht vertraut. Aber hier kann man doch das eigene Zertifikat importieren...
    Bei mir mault kein Browser mehr 😊

    Ist das nicht ausreichend?


    Gesendet von meinem iPhone mit Tapatalk

    Einen Kommentar schreiben:

  • yachti
    antwortet
    Zitat von makki Beitrag anzeigen
    Für faire (deswegen nicht unbedingt billige!) SSL-Zertifikate kann ich an dieser Stelle Startcom empfehlen: StartSSL? Certificates & Public Key Infrastructure

    Im privaten Bereich aber absoluter overkill.. Wenn sich mehr als - sagen wir mal 50 - dafür interessieren könnte man auch laut darüber nachdenken, dafür eine Lösung zu erfinden (?)
    Nur interessieren solche Security-Themen erfahrungsgemäss ca. 1-2%

    Makki
    Kann ich bestätigen. Ich habe selber auch Startssl Zertifikate im Einsatz.

    das Problem bei dyndns wird bei Startssl auch die Verifizierung sein.

    Einen Kommentar schreiben:

  • makki
    antwortet
    Für faire (deswegen nicht unbedingt billige!) SSL-Zertifikate kann ich an dieser Stelle Startcom empfehlen: StartSSL? Certificates & Public Key Infrastructure

    Im privaten Bereich aber absoluter overkill.. Wenn sich mehr als - sagen wir mal 50 - dafür interessieren könnte man auch laut darüber nachdenken, dafür eine Lösung zu erfinden (?)
    Nur interessieren solche Security-Themen erfahrungsgemäss ca. 1-2%

    Makki

    Einen Kommentar schreiben:

  • Tru
    antwortet
    Zitat von mivola Beitrag anzeigen
    Im Netz habe ich einige Anleitungen gefunden die zu cacert.org zeigen. Kennt das jmd?
    Beachte, dass das CAcert Root-Zertifikat in den Browsern auch nicht enthalten ist. Du kannst das zwar nachladen, aber dann kannst du auch gleich deine eigene RootCA erstellen und dieses nachladen. Oder einfach das Serverzertifikat installieren, dann solle der Browser doch auch nicht mehr meckern.
    In den FAQ von cacert wird empfohlen die dyndns-Domain temporär auf einen passenden Mail-Server zeigen zu lassen. Allerdings habe ich keinen solchen...
    Wenn du magst stelle ich dir meinen Mailserver zur Verfügung. Bitte PN für die Details.

    Gruss, Othmar

    Einen Kommentar schreiben:

  • yachti
    antwortet
    Schau Dir das bitte an

    Dyn Transitions SSL Business To DigiCert | Dyn Blog

    Gruß

    Michael

    Einen Kommentar schreiben:

  • mivola
    hat ein Thema erstellt [wiregate] ssl Zertifikat für dyndns-Domain.

    ssl Zertifikat für dyndns-Domain

    Hallo zusammen,

    ich habe mittlerweile mein WG mit SSL/https + Auth am laufen :-) An dieser Stelle nochmal Danke an all die Anleitungen hier im Forum!

    Das einzige was mich noch nervt ist, dass es ein selbst erstelltes Zertifikat ist und der Browser darüber immer rummeckert. Welche Möglichkeiten gibt es (kostengünstig) ein "ordentliches" Zertifikat für eine dyndns-SubDomain zu bekommen? Im Netz habe ich einige Anleitungen gefunden die zu cacert.org zeigen. Kennt das jmd? Funktioniert das Zertifikat als solches? Ich habe mal versucht ein Zertifikat zu erstellen aber bei der "Inhaber-Prüfung" der Domain wird versucht eine "befugte E-Mail-Adresse" (zb. webmaster@subdomain.dyndns.org) zu erreichen - und das funktioniert natürlich nicht...

    In den FAQ von cacert wird empfohlen die dyndns-Domain temporär auf einen passenden Mail-Server zeigen zu lassen. Allerdings habe ich keinen solchen...

    Ich weiß es ist eigentlich keine WG-spezifische Frage, aber das Forum hier ist irgendwie das sympatischste das ich kenne *schleimModus* ;-) und evtl. hat ja jmd eine Idee?

    Danke!
    Micha
    Stichworte: -
Vorherige template Weiter
Lädt...
X

Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

Ich stimme zu