1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zertifizierung: Let's Encrypt…

Müll und Junk 2.0

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 18:05

    Sorry aber die Typen sind sowas von Arrogant und Ignorant, dass es jeder Beschreibung spottet.
    Keines der Tools funktioniert zuverlässig, bei jedem aufruf updated es sich selbst und installiert ungefragt RPM-Pakete, ständig nur Ärger damit. Wir haben wieder angefangen Zertifikate zu kaufen, anstatt uns diesem Junk auszusetzen.
    Kommt noch dazu (und das war ein Hauptgrund), dass sie die IP-Adressen (oder zumindest Ranges) ihrer Validierungsserver nicht preisgeben wollen. Da wir GeoIP-Blocks bzw. Freigaben (nur für DACH,IT,FR) Webdienste haben, müssten wir für jede Validierung den Port 80 für die ganze Welt öffnen weil diese Arrogantos die IPs der Validierungsserver nicht herausgeben wollen.
    Angeblich mit der Begründung dass sie dann gefährdet wären. Wenn die es nicht schaffen die Systeme so abzusichern, dass diese auch dann sicher sind, wenn ihre IPs bekannt sind, sollten sie vielleicht besser damit aufhören.

    Irgend jemand sollte da mal eine Konkurrenz schaffen, damit sie endlich von ihrem hohen Ross herunterkommen. Und ja, jedesmal wenn ich was von denen höre, koche ich vor Wut!

  2. Re: Müll und Junk 2.0

    Autor: UweSarpe 20.02.20 - 18:20

    Naja, man könnte natürlich eine Ausnahmeregel für deren DNS-Eintrag einrichten, aber wer bin ich schon meinen Vorposter zu kritisieren, ich bin nicht so ein Crack, da nicht in einem der von mir betreuten Unternehmen solche Probleme auftreten...



    1 mal bearbeitet, zuletzt am 20.02.20 18:29 durch UweSarpe.

  3. Re: Müll und Junk 2.0

    Autor: wittiko 20.02.20 - 18:22

    Das ist alles fern der Realität. Ich hätte noch keine ungefragten Updates oder sonst etwas gesehen.

    Für was setzt du LE ein wenn die Server eh nicht von außen erreichbar sind? Da reicht eine interne CA genauso.

    GeoIP Blocking ganz toll - du bist mein Held

    Wenn du den Artikel gelesen hättest würdest du auch verstehen warum man die IPs der Server nicht hergibt. Ich würde mich auch nicht darauf verlassen, dass die IPs gleich bleiben.

    Es zwingt dich ja niemand dazu LE zu verwenden du kannst gerne Zertifikate kaufen. Millionen anderer sind glücklich nichts mehr für Zertifikate zahlen zu müssen.

    Was andere CAs so aufführen da könnte ich Bücher schreiben - da bin ich mit LE schon sehr zufrieden.



    1 mal bearbeitet, zuletzt am 20.02.20 18:23 durch wittiko.

  4. Re: Müll und Junk 2.0

    Autor: sandwichmacher 20.02.20 - 18:26

    Würde es nicht reichen, in der webserver-config nur den Teil unter /.well-known für die Welt freizugeben? Den Rest kannste ja gerne weiter blocken, m.W. interessieren sich die LetsEncrypt server nicht dafür.

  5. Re: Müll und Junk 2.0

    Autor: ritzmann 20.02.20 - 18:26

    Scheint eher so, als hätte eure IT keinen Plan.

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > Keines der Tools funktioniert zuverlässig, bei jedem aufruf updated es sich
    > selbst und installiert ungefragt RPM-Pakete, ständig nur Ärger damit.

    ACME ist ein offener Standard. Niemand zwingt dich irgend ein vorgegebenes Tool zu verwenden. Du könntest z.B. dehydrated nehmen. Das Tool kommt ohne Auto-Updates aus. Aber ja, wenn man keine One-Klick Tools nutzten möchte, muss man sich halt Gedanken machen, wie man die Zertifikate ausrollt/tauscht.

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > Kommt noch dazu (und das war ein Hauptgrund), dass sie die IP-Adressen
    > (oder zumindest Ranges) ihrer Validierungsserver nicht preisgeben wollen.
    > Da wir GeoIP-Blocks bzw. Freigaben (nur für DACH,IT,FR) Webdienste haben,
    > müssten wir für jede Validierung den Port 80 für die ganze Welt öffnen

    Oder ihr öffnet einfach /.well-known/acme-challenge/* für die ganze Welt. Das tut nicht weh.

    Twitter: @RitzmannMarkus

  6. Re: Müll und Junk 2.0

    Autor: MadCat_me 20.02.20 - 19:01

    Clients gibt's eine ganze Menge: https://letsencrypt.org/docs/client-options/

    Um welchen geht's denn? Certbot? Ich tendiere zu acme.sh. Macht keinen Ärger, läuft einfach. Der Rest klingt nach typischem Konzern-Blödsinn.

    btw: wenn so einfach wäre, sich gegen entsprechende BGP-Angriffsvektoren zu sichern, hätte man es sicher getan, bevor man Geld für eine zusätzliche Validierung über weitere Cloud-Dienste ausgibt.

    btw2: Port 80? Ähem, DNS-01 ...



    1 mal bearbeitet, zuletzt am 20.02.20 19:10 durch MadCat_me.

  7. Re: Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 19:39

    > GeoIP Blocking ganz toll - du bist mein Held
    Wieso auch nicht? Das schränkt die Angriffsvektoren schon mal deutlich ein.
    Und vorallem hat man nicht ständig diese China/Ukraine/Weissrussland/Afrika-Script-Kiddies, welche die Fail2ban-Logs mit ihren ständigen Angriffen vollmüllen.
    Ausserdem kann man sich in diesem Geo-Bereich (Wie gesagt DACH,IT,FR) gegen
    mögliche Angreifer eher juristisch vorgehen.

  8. Re: Müll und Junk 2.0

    Autor: MadCat_me 20.02.20 - 19:48

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > > GeoIP Blocking ganz toll - du bist mein Held
    > Wieso auch nicht? Das schränkt die Angriffsvektoren schon mal deutlich
    > ein.
    > Und vorallem hat man nicht ständig diese
    > China/Ukraine/Weissrussland/Afrika-Script-Kiddies, welche die Fail2ban-Logs
    > mit ihren ständigen Angriffen vollmüllen.
    > Ausserdem kann man sich in diesem Geo-Bereich (Wie gesagt DACH,IT,FR) gegen
    >
    > mögliche Angreifer eher juristisch vorgehen.

    Das hängt sehr stark davon ab, wie die Sperren umgesetzt sind. Wir hatten bei uns auch mal einen Konzern-Kunden, der genauso argumentiert hatte, wie Du und was haben die Genies gemacht? Die IP-Freigaben im Apache hinterlegt -- jegliche Gegenargumente waren sinnlos. Die Entscheider sind ja in Konzernen meist IT-Analphabeten.

  9. Re: Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 19:54

    > Oder ihr öffnet einfach /.well-known/acme-challenge/* für die ganze Welt.
    > Das tut nicht weh.
    Das sind nicht klassische Webserver. Meist Groupware/ERP/Enterprise Systeme mit integrierten Jettys/Tomcats, die haben kein klassisches DocumentRoot. Ausserdem wären da solche Regeln schwierig zu integrieren. Das GeoIP-Blocking wird daher von einer vorgeschalteten Firewall implementiert.

  10. Re: Müll und Junk 2.0

    Autor: wittiko 20.02.20 - 19:56

    Gegen Angreifer juristisch vorzugehen wenn diese nicht eingebrochen sind halte ich echt für eine Beschäftigungstherapie.

    Was willst machen zum Richter laufen wegen einem Portscan? Alleine dem Richter das zu erklären halte ich für sinnlos.

    Wenn Fail2ban anschlägt werden die Spezialisten eh geblockt.

    Ich halte es einfach für ein Unding Personen bzw Gruppen einfach aufgrund ihrer Rasse oder Nationalität auszusperren.

    Dann bin ich gerade in USA oder sonst wo und muss über die richtige IP rausgehen? Noch dazu gibt es ja zum Glück die Geoblocking Verordnung an die ihr euch sicher haltets oder?

  11. Re: Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 20:00

    > Dann bin ich gerade in USA oder sonst wo und muss über die richtige IP
    > rausgehen? Noch dazu gibt es ja zum Glück die Geoblocking Verordnung an die
    > ihr euch sicher haltets oder?
    Das sind sehr spezielle Systeme, welche besonderem Schutz bedürfen und nur von einer geschlossenen Personengruppe in diesen Ländern genutzt werden. Bei einigen sitzen zb. alle User nur in einem Land. Diese Systeme sollen/müssen auch gar nicht von überall zugreifbar sein. Wieso sollte ich also diese Dienste für die ganze Welt öffnen, wenn alle User in einem klar definierten geografischen Bereich sitzen?

  12. Re: Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 20:09

    > Was willst machen zum Richter laufen wegen einem Portscan? Alleine dem
    > Richter das zu erklären halte ich für sinnlos.
    Natürlich nicht Portscans und so Script-Kiddie-Zeugs. Da müsste ich ja täglich etliche Duzend Mal zum Richter rennen.
    Natürlich nur für den Fall, wenn wirklich ein richtiger Einbruch stattfinden sollte und wirklich Schaden verursacht würde. Da kann man sich schonmal am Schadenersatz gütlich tun, falls nötig.
    Das lohnt dann auch schon mal.



    1 mal bearbeitet, zuletzt am 20.02.20 20:10 durch roli8200.

  13. Re: Müll und Junk 2.0

    Autor: wittiko 20.02.20 - 20:09

    Wenn ich so kritische Systeme habe stell ich diese gar nicht ins Internet und lasse die Leute über VPN zugreifen.

    Wenn du etwas in der EU anbietest darfst du keine Benutzer aus der EU aussperren so will es das Gesetz. Du verstößt damit also gegen das Gesetz.

    Im Endeffekt ist Geoblocking nichts anderes als Rassismus bzw Fremdenfeindlichkeit im Internet.

  14. Re: Müll und Junk 2.0

    Autor: roli8200 20.02.20 - 20:19

    > Wenn du etwas in der EU anbietest darfst du keine Benutzer aus der EU
    > aussperren so will es das Gesetz. Du verstößt damit also gegen das Gesetz.
    Sorry, aber jetzt hupts oder? Wenn ich was anbiete, kann ich selbstverständlich
    entscheiden, wem ich das anbieten möchte! Punktum. Jedes Gesetz dagegen
    ist per se nichtig, da gegen die Wirtschaftsfreiheit verstossend.

    > Im Endeffekt ist Geoblocking nichts anderes als Rassismus bzw
    > Fremdenfeindlichkeit im Internet.
    Ah ja, wirklich? Ok, wenn ich gegen Russische/Ukrainische, Chinesische, etc. und afrikanische Hackgruppen bin, (aus diesen Ländern sowieso per se keine Kunden für diese Systeme kommen) und ich die Hacker aussperre oder mir damit zumindest die Arbeit und das Monitoring erleichtere indem ich den Grossteil der unnützen Kommunikation filtere und mich nur noch um die relevante Kommunikation kümmern muss, bin ich also ein Rassist.

    OK zieh mal einen nicht mehr so neuen Apache mit php 5.x und einem älteren Jommla hoch und schau wie lange es geht bis der anfängt Spam zu versenden oder Trojaner zu verbreiten. Und dann schau woher der/die Angriff(e) kam(en). Zu 99% nicht aus den DACH,etc. Ländern sondern eben genau aus Osteuropa (im weitesten Sinne), Indochina, China oder Afrika.

  15. Re: Müll und Junk 2.0

    Autor: RipClaw 20.02.20 - 20:30

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > > Oder ihr öffnet einfach /.well-known/acme-challenge/* für die ganze
    > Welt.
    > > Das tut nicht weh.
    > Das sind nicht klassische Webserver. Meist Groupware/ERP/Enterprise Systeme
    > mit integrierten Jettys/Tomcats, die haben kein klassisches DocumentRoot.
    > Ausserdem wären da solche Regeln schwierig zu integrieren. Das
    > GeoIP-Blocking wird daher von einer vorgeschalteten Firewall implementiert.

    Dann mach ne DNS Validierung. Die kann man auch automatisieren wenn der Provider eine API anbietet.

    Es gibt zudem viele alternative Clients. Wenn man es in seine eigene Umgebung integrieren will man kann sich den Client auch selber schreiben. Es gibt genug Libs für alle möglichen Programmiersprachen die das ACME Protokoll implementieren. Oder wenn man wirklich alles selber machen will kann man einfach das Protokoll selbst implementieren da es offen liegt.

    So oder so ist dein Flame unangebracht und basiert einfach nur auf mangelndem Wissen und Vorurteilen.

  16. Re: Müll und Junk 2.0

    Autor: RipClaw 20.02.20 - 20:32

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > > GeoIP Blocking ganz toll - du bist mein Held
    > Wieso auch nicht? Das schränkt die Angriffsvektoren schon mal deutlich
    > ein.

    Nur basiert GeoIP auf Datenbanken die gerne mal veraltet sind. Ich habe z.B. mal ne ganze Weile IPs von meinem Zugangsprovider zugewiesen bekommen bei denen Google gedacht hat das ich in Russland bin weil die GeoIP Datenbank das gesagt hat. Die IP Netze waren entweder frisch von einem Russischen Provider eingekauft worden oder wurden von der RIPE neu vergeben.



    1 mal bearbeitet, zuletzt am 20.02.20 20:42 durch RipClaw.

  17. Re: Müll und Junk 2.0

    Autor: wittiko 20.02.20 - 20:43

    Wieso sollte ich einen Server mit veralteter Software betreiben?

    Ich patche alle Server die ich betreibe um mir genau diese Probleme nicht einzuhandeln.
    Nur weil ein paar Hacker oder sonst was in den Ländern sitzen sind nicht alle gleich Hacker.

    Du redest von richtigen Hackern und glaubst die können sich keine IPs in den richtigen Ländern besorgen? Das geht schneller als du glaubst. Du erkaufst dir mit Geoblocking nur eine Scheinbare Sicherheit. Lieber die Systeme aktuell halten.

  18. Re: Müll und Junk 2.0

    Autor: devman 20.02.20 - 21:43

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > Sorry aber die Typen sind sowas von Arrogant und Ignorant, dass es jeder
    > Beschreibung spottet.
    > Keines der Tools funktioniert zuverlässig, bei jedem aufruf updated es sich
    > selbst und installiert ungefragt RPM-Pakete, ständig nur Ärger damit. Wir
    > haben wieder angefangen Zertifikate zu kaufen, anstatt uns diesem Junk
    > auszusetzen.
    > Kommt noch dazu (und das war ein Hauptgrund), dass sie die IP-Adressen
    > (oder zumindest Ranges) ihrer Validierungsserver nicht preisgeben wollen.
    > Da wir GeoIP-Blocks bzw. Freigaben (nur für DACH,IT,FR) Webdienste haben,
    > müssten wir für jede Validierung den Port 80 für die ganze Welt öffnen weil
    > diese Arrogantos die IPs der Validierungsserver nicht herausgeben wollen.
    > Angeblich mit der Begründung dass sie dann gefährdet wären. Wenn die es
    > nicht schaffen die Systeme so abzusichern, dass diese auch dann sicher
    > sind, wenn ihre IPs bekannt sind, sollten sie vielleicht besser damit
    > aufhören.
    >
    > Irgend jemand sollte da mal eine Konkurrenz schaffen, damit sie endlich von
    > ihrem hohen Ross herunterkommen. Und ja, jedesmal wenn ich was von denen
    > höre, koche ich vor Wut!

    LE hat ein RPM :-/
    Oh oh oh, falsche Quelle?

  19. Re: Müll und Junk 2.0

    Autor: Golressy 21.02.20 - 04:15

    wittiko schrieb:
    --------------------------------------------------------------------------------
    > Das ist alles fern der Realität. Ich hätte noch keine ungefragten Updates
    > oder sonst etwas gesehen.

    Denn Update-Dienst kann man auch auf alternativen Servern laufen lassen. Ich hab da schon jeden Unsinn (erfolgreich) ausprobiert ;-)
    Trotzdem. Mit jedem Cert-Update geht auch meist ein Programm-Update mit hinein. Es nervt doch schone etwas ;-)

    > Für was setzt du LE ein wenn die Server eh nicht von außen erreichbar sind?
    > Da reicht eine interne CA genauso.
    >
    > GeoIP Blocking ganz toll - du bist mein Held

    Das mache ich aber auch. Der Asiatische Raum wird von mir oft gesperrt. Aus der Ecke kommt ständig irgendeine DoS-Attacke. (USA nebenbei auch)

    > Wenn du den Artikel gelesen hättest würdest du auch verstehen warum man die
    > IPs der Server nicht hergibt. Ich würde mich auch nicht darauf verlassen,
    > dass die IPs gleich bleiben.

    Es wird nun gerade Spannend, wie es mit den IPv4 nun weiter geht, wo sie quasi ausgegangen sind. Früher konnte man den Provider anrufen, "ik hätte gerne eine neue IP für unseren Server". Früher kein Problem, heute wollen Sie das gar nicht mehr.

    > Es zwingt dich ja niemand dazu LE zu verwenden du kannst gerne Zertifikate
    > kaufen. Millionen anderer sind glücklich nichts mehr für Zertifikate zahlen
    > zu müssen.

    Zu Preisen, OMG! ^^

    > Was andere CAs so aufführen da könnte ich Bücher schreiben - da bin ich mit
    > LE schon sehr zufrieden.

  20. Re: Müll und Junk 2.0

    Autor: phade 21.02.20 - 13:07

    roli8200 schrieb:
    --------------------------------------------------------------------------------
    > Kommt noch dazu (und das war ein Hauptgrund), dass sie die IP-Adressen
    > (oder zumindest Ranges) ihrer Validierungsserver nicht preisgeben wollen.

    Such mal in deinen Serverlogs nach "Let's Encrypt validation server; +https://www.letsencrypt.org".
    Und mit whois findest du dann die Ranges.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SCHUFA Holding AG, Wiesbaden
  2. Boerse Stuttgart GmbH, Stuttgart
  3. über Kienbaum Schweiz AG, Region Ostschweiz
  4. Bayerische Versorgungskammer, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de