dolezel.net

Co není v hlavě, je v blogu...

Odteď už pouze SAN certifikáty

Tohle je docela zvláštní. Přešel jsem z nedůvěryhodných StartSSL certifikátů zpět k vlastní certifikační autoritě. Vydal jsem certifikát s CN, přidal .KEY a .PEM do příslušného web serveru. Přistupuji k webu pomocí Vivaldi 1.11 - a web server mi hlásí problém s certifikátem. Povoluji výjimku a nahazuji F12, abych se dozvěděl víc.

Security overview mi hlásí "This page is not secure (broken HTTPS)". A pod tím vidím hlášku, že "Subject Alternative Name missing". Začínám hledat na webu - a našel jsem toto a toto. Více...

Důvěryhodné bankovnictví

Jak vypadá důvěryhodné internetové bankovnictví? Takhle určitě ne. Tohle je těžký fail.

iexplore_2016-10-19_10-35-39

Jsem zvědav, za jak dlouho to opraví. Paní účetní je z toho jaksi nesvá. A ani se jí nedivím.

vivaldi_2016-10-19_10-45-47

IIS a SHA256 certifikát

Vypršel mi StartSSL certifikát, tak jsem si před obnovou řekl, že už je na čase obměnit SHA1 za SHA256. No jo, jenže IIS Manager ve Windows Serveru 2012 R2 vyrobí CSR automaticky jen s SHA1. Tak dobrá, nahodím mmc.exe, přidám si Certificates snap-in a holt ten požadavek vyrobím ručně. V tu chvíli jsem netušil, jakou zábavu jsem si připravil pro pár hodin v průběhu několika dalších dní.

Úvodem jsem dal Request New Certificate…. Špatně, správně je nutné zvolit Advanced Operations a následně Create Custom Request… Více...

Certifikát webového serveru hezky pěkně manuálně

Předpoklady:

CA akceptuje SAN CSR.
Chci mít certifikát s možností exportu privátního klíče.

Postup:

Stáhnu si přílohu ssl.inf a doplním/změním požadované parametry.

Vytvořím CSR soubor
certreq -new ssl.inf ssl.req

CSR můžu zkontrolovat pomocí
certutil ssl.req

Pokud je CA dostupná přes RPC, můžu následující příkaz spustit rovnou tam, kde jsem vytvářel CSR. Jinak musím soubor na CA nejdříve překopírovat.

certreq -submit ssl.req
nebo
certreq -attrib “CertificateTemplate:webserver” -submit ssl.req

Druhou variantu je nutné použít např. v případě, kdy bych chtěl takto vydat certifikát na základě CSR vytvořeného v průvodci Exchange 2010 (a možná i 2013).

Předposledním krokem je instalace vydaného certifikátu, čímž dojde k propojení s privátním klíčem
certreq -accept ssl.cer

Posledním krokem je export certifikátu ve formátu PFX a uložení na bezpečné místo. Nejdříve si certifikát vypíšu.
certutil -store My

Musím si poznamenat sériové číslo certifikátu a následně jej vyexportovat
certutil -exportPFX -p "Password" My 610df5bb000000000002 exportovany_certifikat.pfx

Zdroje:

http://blogs.technet.com/b/pki/archive/2009/08/05/how-to-create-a-web-server-ssl-certificate-manually.aspx
http://certificate.fyicenter.com/685_Microsoft_CertUtil_Microsoft_certutil_-user_Certificate_St.html
http://blogs.technet.com/b/yuridiogenes/archive/2011/04/20/exporting-certificates-using-certutil.aspx

ssl.inf (1,4KB)

Peklo se slabými certifikáty

Současné šílenství se zabezpečováním SSL komunikace má nepříjemné efekty. Třeba teď jsem se po půl roce dostal opět ke konfiguraci prehistorického Linksys WRP400. Firmware pro něj nebyl vydaný už dva roky (a počítám, že už nikdy nebude). Zabudovaný certifikát používá délku klíče menší než 1024 bitů, takže IE s ním nekamarádí už dlouho. Od té doby jsem na konfiguraci používal Firefox. Jenže i ten přešel od verze 33 na nějakou jinou, restriktivnější knihovnu a standardně už také nedovolí připojení k webovému serveru se slabým certifikátem. Nakonec jsem dle této stránky ve FF hrábnul do about:config konfigurace a dočasně nastavil:

security.tls.version.fallback-limit z 1 na 0
security.tls.version.min z 1 na 0

ff_weak_https

Jelikož nebudu čekat, až ani tohle nepůjde, tak jsem “vylepšil” zabezpečení routeru tím, že jsem vypnul HTTPS a nahodil HTTP. Tomu říkám pokrok. Ještě že aspoň jde zakázat přístup ke konfiguraci routeru přes WLAN a vynutit si pouze “drátové” připojení k administraci.

CA Web Enrollment na front-end serveru

V dobách Windows 2003 jsem často zprovozňoval interní certifikační autoritu na back-end serveru a CA Web Enrollment a web s CRL na front-end serveru. U Windows 2008 mi identický postup nefungoval, tak jsem to vždy obešel automatickým zprovozněním aplikace /CertSrv po instalaci v Default Web Site. Dnes jsem však potřeboval tuto aplikaci rozchodit na jiném webovém serveru, protože Default Web Site již byl používaný Exchange Serverem 2010. Je to k neuvěření, ale dnes jsem našel jeden blog post z roku 2009, který vše potřebné naprosto geniálně popisuje. Už jen lahůdkou je fakt, že front-end běžící na Windows Serveru 2008 může bez problémů komunikovat s certifikační autoritou spuštěnou na Windows Serveru 2003. Více...

Kvalifikované certifikáty z jiných států EU

Nedá mi to, tohle si musím uložit. Některá rozhodnutí Evropské unie jsou, vzhledem ke znalosti praktického nasazení technologií a know-how obsluhujícího perzonálu, těžko pochopitelná. Jedním takovým je uznatelnost kvalifikovaných certifikátů vydaných v jiných členských státek EU příslušnými národními orgány veřejné moci. Více...

Import-ExchangeCertificate a PrivateKeyMissing

Zvláštní věc se stala. Běžným způsobem jsem požádal o Exchange 2010 SAN certifikát.

[PS] C:\Windows\system32>$cert = New-ExchangeCertificate -GenerateRequest:$True -SubjectName "c=CZ,s=Praha,L=Praha,o=Telefonica Czech Republic a.s.,ou=Operations,cn=smtpin1.domain.local" -DomainName smtpin1.domain.local,smtpin1 -FriendlyName 'smtpin1.domain.local' -PrivateKeyExportable $true -KeySize '2048'
[PS] C:\Windows\system32>$cert | Out-File c:\temp\smtpin1.domain.local.csr

Soubor jsem vzal a požádal na CA “o štempl”. Odpověď od CA jsem přenesl opět na server a opět korektně zadal toto: Více...

StartSSL je zpět

Již včera jsem si všiml, že stránky www.startssl.com jsou opět v plném provozu. Nadále nedostupné byly stránky StartSSL WoT. Před chvílí jsem si ale všiml, že zprovozněn je opětovně už i Web of Trust. Zkoušel jsem se chvíli pídit po informacích, kdy se tak stalo, ale nikde nic. Tak teď už nezbývá než doufat, že obnovení provozu nesouvisí s ohlášeným rozpadem nechvalně proslulé hackerské skupiny LulzSec a že jsou všechna potenciální rizika a díry skutečně odstraněna.

Hackeři útočí, nejen na Sony

Dnes mi přistála v e-mailu zpráva z distribučního listu notářů Web of Trust certifikační autority StartSSL. A docela jsem se divil. Nejen Sony má plné ruce práce. Po březnových útocích na certifikační autoritu Comodo přišly v minulém týdnu útoky na StartSSL. Stránky certifikační autority jsou nyní odstavené, bohužel na mne moc dobře nepůsobí hláška, že služba bude nedostupná do pondělí 20. června – dneska je už úterý 21.6. Sad smile

Každopádně lepší vypnuté a odolávající útoku, než dostupné s uniklými klíči, které by umožnily podvrhovat útočníkům neplatné certifikáty. Akorát to nesmí trvat moc dlouho, protože důvěra se na internetu obnovuje hodně těžce a dlouho.

Zdroj: The Register