[SSL] Let's Encrypt. Wachten of alternatief zoeken

[ Voor 6% gewijzigd door Juup op 02-04-2015 22:56 ]

1

./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

[ Voor 14% gewijzigd door Verwijderd op 04-01-2016 00:10 ]

Verwijderd schreef op zondag 03 januari 2016 @ 23:50:
Ik heb vanavond Let's Encrypt certificaten in gebruik genomen. So far so good...

Die autoconfiguratie tool van ze werkt vooralsnog niet (op mijn server), maar handmatig certificaten ophalen en die in je virtualhosts of wat je ook gebruikt stoppen werkt prima.

code:

1	./letsencrypt-auto certonly --standalone -d example.com -d www.example.com

https://letsencrypt.org/howitworks/

Ik heb een Ubuntu 14.04 server en draai Apache2.

In actie:
https://kevindebie.nl/

Enige "meh" tot dusver is dat certificaten elke 90 dagen ververst moeten worden. Maargoed dat valt verder prima in je update/onderhoud schema te verwerken. Of een cron...

SL3Y4R schreef op maandag 04 januari 2016 @ 16:42:
[...]


Ik heb je site bekeken via google chrome op android, en die geeft een melding dat er wat mis is..

[ Voor 16% gewijzigd door CyBeR op 04-01-2016 17:39 ]

Verwijderd schreef op zondag 03 januari 2016 @ 23:50:
...

Enige "meh" tot dusver is dat certificaten elke 90 dagen ververst moeten worden. Maargoed dat valt verder prima in je update/onderhoud schema te verwerken. Of een cron...

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#!/bin/bash
#
# This script will renew all the domains listed in the array
domains=(domein.be domein.nl)

echo "Starting renewal process for domains"

# Generate a new certificate for each domain
for domain in ${domains[@]}; do
        echo "Renewing domain ${domain}"
        /usr/src/letsencrypt/letsencrypt-auto certonly -a webroot --user-agent "" --rsa-key-size 4096 --renew-by-default --webroot-path /tmp -d ${domain}
done

echo "Reloading Nginx"
# Reload nginx
/usr/sbin/service nginx reload

echo "Certificates regenerated"

1
2
3

location /.well-known/acme-challenge {
                root /tmp;
        }

[ Voor 5% gewijzigd door azerty op 04-01-2016 17:53 ]

CyBeR schreef op maandag 04 januari 2016 @ 17:38:
Nog geen enkele browser kent Let's Encrypt als CA. Op dit moment werken die certificaten door middel van cross signing. Praktisch gezien is Let's Encrypt op dit moment alleen nog een subordinate CA.

De signende CA daarvan echter is wel al een flinke tijd bekend dus als je nu waarschuwingen krijgt, heb je wellicht de CA chain op je server niet goed ingesteld.

De melding van Chrome aangaande https://kevindebie.nl/ betreft overigens mixed content: je site laadt scripts in die niet van https-sites komen.

[ Voor 9% gewijzigd door Verwijderd op 04-01-2016 17:52 ]

Verwijderd schreef op maandag 04 januari 2016 @ 17:50:
Mixed content kan kloppen, wordt niet persé rekening gehouden met https, het is maar een filler/placeholder pagina immers.

8088 schreef op maandag 04 januari 2016 @ 18:01:
[...]

Wat is dan het nut van een SSL-certificaat? Je implementatie is sowieso wel vatbaar voor verbetering.

Verwijderd schreef op maandag 04 januari 2016 @ 18:05:
...
Uit je link kan ik geen probleem destileren trouwens, die wil niet echt laden.
Wat is er volgens jou concreet mis?

This server accepts RC4 cipher, but only with older protocol versions. Grade capped to B.
The server does not support Forward Secrecy with the reference browser.
This server's certificate chain is incomplete. Grade capped to B.

Verwijderd schreef op maandag 04 januari 2016 @ 18:05:
Uit je link kan ik geen probleem destileren trouwens, die wil niet echt laden.
Wat is er volgens jou concreet mis?

This server accepts RC4 cipher, but only with older protocol versions. Grade capped to B. MORE INFO »»
The server does not support Forward Secrecy with the reference browsers. MORE INFO »
This server's certificate chain is incomplete. Grade capped to B.
This site works only in browsers with SNI support.

[ Voor 34% gewijzigd door Verwijderd op 04-01-2016 18:40 ]

global
        log /dev/log local0
        log /dev/log   local1 notice
        #log loghost    local0 info
        maxconn 4096
        chroot /var/lib/haproxy
        uid 99
        gid 99
        daemon
        #debug
        #quiet
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!eNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3

defaults
 <niet relevant>


frontend webmail-http
        bind *:80
        bind *:443 ssl crt /data/ssl
        bind :::80
        bind :::443 ssl crt /data/ssl
        mode http
        default_backend dsapid
        log global
        redirect scheme https if !{ ssl_fc }
        capture request header  Host len 63
        http-response set-header Strict-Transport-Security  max-age=31536000

backend dsapid
        server local 127.0.0.1:8000

[ Voor 102% gewijzigd door CyBeR op 04-01-2016 18:57 ]

CyBeR schreef op maandag 04 januari 2016 @ 18:55:
Voor A+ moet je HSTS headers meesturen, anders krijg je maximaal A.

SSLCipherSuite "SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite "SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
Header always set Strict-Transport-Security "max-age=31536000"

[ Voor 21% gewijzigd door 8088 op 04-01-2016 19:31 ]

[ Voor 40% gewijzigd door Verwijderd op 04-01-2016 20:33 ]

Verwijderd schreef op maandag 04 januari 2016 @ 20:31:
Vooruit, ik hoor nu ook bij het A+ clubje. Als het zo makkelijk is om dat te regelen dan waarom niet.

[ Voor 24% gewijzigd door Verwijderd op 04-01-2016 22:06 ]

JeroenED schreef op donderdag 02 april 2015 @ 17:06:
Mijn voornaamste vrees is dat de certificaten snel ongeldig zullen worden verklaard. Met een beetje technische kennis (Linux is niet zo moeilijk) kan je op 1,2,3 een certificaat genereren voor een domein waarlangs je dan met gemak tonnen spam mee kan versturen.

Verwijderd schreef op dinsdag 05 januari 2016 @ 15:35:
.... Mail gaat niet over https, voor zover ik weet.

begintmeta schreef op dinsdag 05 januari 2016 @ 15:40:
[...]

Mail (tussen mailservers) gaat doorgaans over SMTP, eventueel SMTPS, maar vaak (vaak ook niet trouwens) SMTP+TLS, dus dan heb je in principe wel sleutels nodig. Overigens controleren servers maar zelden de metadata van de sleutels van andere servers.

CyBeR schreef op dinsdag 05 januari 2016 @ 15:44:
[...]


s/zelden/nooit/ (tenzij expliciet overeen gekomen door handmatige configuratie)

Het alternatief is namelijk afleveren over smtp zonder tls, wat niet bepaald beter is.

CyBeR schreef op maandag 04 januari 2016 @ 22:02:
Ja als je 100% wilt op alles moet je allerlei dingen doen waardoor je met redelijk gangbare browsers opeens niet meer compatibel bent, dus da's niet per see een goed idee

[ Voor 8% gewijzigd door azerty op 05-01-2016 16:39 ]

1

SSLCipherSuite "EECDH+AESGCM:EECDH+AES256 !DH !3DES !MEDIUM !LOW !aNULL !eNULL !LOW !RC4 !MD5 !EXP !PSK !SRP !DSS"

• Ephemeral elliptic curve DH als key exchange (forward secrecy en de non-ECC EDH-browsers zijn niet relevant te noemen);
• AES GCM (128+256 bits) óf
• AES CBC (alléén 256 bits) met SHA384/SHA256/SHA1 als HMAC.

[ Voor 40% gewijzigd door Osiris op 05-01-2016 16:12 ]

begintmeta schreef op dinsdag 05 januari 2016 @ 15:47:
[...]

Alternatief zou je ook niet kunnen afleveren

CyBeR schreef op dinsdag 05 januari 2016 @ 16:11:
[...]

Een ander probleem overigens is wat stop je in de common name? De servernaam (zoals in MX record) of de domeinnaam waarnaar je probeert af te leveren? Of beide? Er is geen standaard voor.

Osiris schreef op dinsdag 05 januari 2016 @ 16:09:
100 op cipher strength is mijns inziens niet aan te raden om na te streven. Dat houdt namelijk in dat je 128 bits GCM uitgezet hebt, waardoor bijv. Chrome terugvalt op 256 bits AES CBC (tenzij je wellicht ChaCha20/Poly1305 hebt? Maar dat zit nog niet in OpenSSL 1.0.2d). En CBC is een mode of operation waar recentelijk toch wel het e.e.a. aan op te merken is geweest security-wise en wat je een "obsolete cipher"-waarschuwing in Chrome oplevert.

Zelf heb ik 128 bit GCM toegevoegd zonder 128 bit CBC. Overigens heb ik sowieso een dikke vinger naar al die legacy browsers en OS-en:

code:

1	SSLCipherSuite "EECDH+AESGCM:EECDH+AES256 !DH !3DES !MEDIUM !LOW !aNULL !eNULL !LOW !RC4 !MD5 !EXP !PSK !SRP !DSS"

Enige wat ik toesta is:

• Ephemeral elliptic curve DH als key exchange (forward secrecy en de non-ECC EDH-browsers zijn niet relevant te noemen);
• AES GCM (128+256 bits) óf
• AES CBC (alléén 256 bits) met SHA384/SHA256/SHA1 als HMAC.

[ Voor 5% gewijzigd door azerty op 05-01-2016 16:44 ]

azerty schreef op dinsdag 05 januari 2016 @ 16:41:
[...]

Jup, had niet op Chrome getest (gebruik ik zelf niet meer), maar je hebt gelijk... Laptop waar er wel nog Chrome op stond gaf idd "verouderde" cipher aan. Dan maar 90% ipv 100% voor de uitzonderlijke keer dat iemand met chrome op mijn webmail/cloud omgeving aan de slag moet

azerty schreef op dinsdag 05 januari 2016 @ 16:41:
[...]

Edit: ik ga wel nog voor DH, maar dan met een custom set parameters van 4096 bit, zou voorlopig genoeg moeten zijn, en kan het dan in de toekomst nog steeds uitfaseren

[ Voor 16% gewijzigd door Osiris op 05-01-2016 16:54 ]

Osiris schreef op dinsdag 05 januari 2016 @ 16:47:
[...]

Niets mis met DH hoor (mits geen last van Logjam idd), maar 't heeft een nogal wat hogere performance dan z'n elliptic curve broertje

[ Voor 52% gewijzigd door azerty op 05-01-2016 17:10 ]

azerty schreef op dinsdag 05 januari 2016 @ 16:52:
Als er nog niet veel vervangers beschikbaar zijn die wijd inzetbaar zijn (zoals je aanhaalt dat ChaCha20/Poly1305 nog niet in die specifieke openSSL versie zit), wat moet je dan gaan gebruiken ipv aes-256?

azerty schreef op dinsdag 05 januari 2016 @ 16:52:
Mijn voorrangslijstje is op dit moment als volgt:

ECDH+GCM > DH+GCM > ECDH+AES256 > DH+AES256 (en al de rest niet)

[ Voor 18% gewijzigd door Osiris op 05-01-2016 17:01 ]

Osiris schreef op dinsdag 05 januari 2016 @ 16:47:
[...]

Overigens zijn er ook reports dat de AES keying methods om tot een 256 bits key te komen niet 100 % kosher is, waardoor dat enigszins vulnerable is. Nu is dat tot nog toe alleen "hackable" (lees: 256 bit AES theoretisch sneller te kraken dan brute force 128 bit AES) bij een minder aantal "rounds" in het AES-proces dan het daadwerkelijk aantal rounds wat in de normaliter gebruikte AES-ciphers gebeurt, maar echt lekker is anders

Aangezien het dus (nog?) niet vulnerable is bij het volledige aantal rounds AES is het dus ook ernstig voorbarig om maar te roepen dat men dús maar geen 256 bits AES meer moet gebruiken, maar er zijn dus luitjes die dat (onterecht mijns inziens) roepen..

Bron

CyBeR schreef op dinsdag 05 januari 2016 @ 16:58:
[...]


Dat betreft een related-key attack en is weinig interessant als je gewoon fatsoenlijke keys gebruikt. Related-key betekent dat je meerdere keys gebruikt die slechts gedeeltelijk verschillen.

[ Voor 31% gewijzigd door Osiris op 05-01-2016 17:03 ]

Osiris schreef op dinsdag 05 januari 2016 @ 16:56:
[...]

't Is (nog) niet vulnerable hè. Ik heb de bron erbij geëdit. Naast de originele paper (zie "UPDATED" onderaan), staat er ook een opsomming met "There are three reasons not to panic:"

Osiris schreef op dinsdag 05 januari 2016 @ 16:56:
Vreemd genoeg geeft dat in een `openssl ciphers -v 'ECDH+GCM:DH+GCM:ECDH+AES256:DH+AES256'` geen 128 bit GCM?

1

openssl ciphers -v 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'

ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(128) Mac=AEAD
DHE-DSS-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(256) Mac=AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
DHE-DSS-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AESGCM(128) Mac=AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
DHE-DSS-AES256-SHA256 TLSv1.2 Kx=DH Au=DSS Enc=AES(256) Mac=SHA256
DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS Enc=AES(256) Mac=SHA1

azerty schreef op dinsdag 05 januari 2016 @ 17:03:
Bij mij geeft

code:

1	openssl ciphers -v 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH'

De volgende output:

[...]

[ Voor 28% gewijzigd door Osiris op 05-01-2016 17:07 ]

Osiris schreef op dinsdag 05 januari 2016 @ 17:04:
[...]

Ja bij mij ook maar die lijst met ciphers gaf je niet hè

Alsnog raar dat GCM en AESGCM 't onderscheid tussen resp. geen en wel 128 bits AES GCM maakt..

De man-page van `openssl ciphers` kent een losstaande GCM niet eens