https Archive - Maximilian Krieg

Fortinet – LetsEncrypt-Zertifikate manuell erneuern

Maximilian — Sat, 16 Dec 2023 11:05:39 +0000

Für einen Kunden muss ich seine LetsEncrypt-Zertifkate auf den FortiGate-Firewalls erneuern, weil sein Monitoring-System die Restlaufzeit von 30 Tagen fälschlicherweise als Störung gemeldet hat. Die automatische Erneuerung der Zertifikate gestaltet sich dabei unproblematisch; vielmehr liegt die Herausforderung in der Konfiguration der Schwellwerte im Monitoring-System. Dennoch möchte ich auf beide Aspekte eingehen.

Monitoring-Schwellwerte

Dem Monitoring-Team stellen wir folgende Schwellwerte als Empfehlung für sämtliche LetsEncrypt-Zertifikate des Kunden, unabhängig davon welches System sie präsentiert oder verlängert, zur Verfügung:

Warnung – Ab 28 bis 30 Tagen
Fehler – Ab 5 bis 7 Tagen

Erst bei Eintreten des Fehlerzustands im Monitoring-System sollte ein Ticket erzeugt werden. 5 bis 7 Tage sollten genug Zeit sein den Prozess manuell zu starten oder in die Fehleranalyse zu gehen, warum der Automated Certificate Management Environment (ACME)-Client das Zertifikat nicht korrekt innerhalb des Standard-Intervalls erneuert hat. Standardmäßig hat ein LetsEncrypt-Zertifikat eine Laufzeit von 90 Tagen und erst ab 60 Tagen ist es eigentlich zum Renewal vorgesehen. Mehr Informationen hierzu findet man in der ACME Renewal Information (ARI).

Die oben genannte Werte sind bereits individuell angepasst auf die Konfiguration der Kunden-spezifischen Umgebung. Ebenfalls denkbar wären folgende, allgemeinen Schellwerte, wenn nur einmal am Tag eine Prüfung der Laufzeiten erfolgt:

Warnung – Ab 30 Tagen
Fehler – Ab 28 Tagen

Renewal-Prozess

Die FortiGate-Firewalls sehen im Standard vor, dass ein Zertifikat 30 Tage vor Ablauf den Renewal-Prozess initiieren.

config vpn certificate local
    edit 
        set acme-renew-window 30
    end

Über folgende Befehle kann man dann ein Zertifikat manuell, auch vor den 30 Tagen, erneuern.

ACME-Status prüfen:

get system acme status
get system acme acc-details

Zertifikate erneuern:

diagnose sys acme regenerate-client-config
diagnose sys acme restart

2-3 Minuten warten, danach neue Laufzeiten je Zertifikat kontrollieren:

get vpn certificate local details 
diagnose sys acme status-full

Quellen

Der Beitrag Fortinet – LetsEncrypt-Zertifikate manuell erneuern erschien zuerst auf Maximilian Krieg.

Auslesen von HSTS-Informationen aus dem HTTP-Header

Maximilian — Tue, 25 Oct 2016 19:53:00 +0000

In meinem Artikel HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren habe ich beschrieben, was HSTS ist und wie man es auf seinem Webserver aktiviert, um eine bessere Bewertung beim SSL Server Test von Qualys zu erhalten. Nun trat der Fall auf, dass dieser Test für eine andere Webseite die Meldung Invalid HSTS header herausgegeben hat. Die Konfiguration auf dem betroffenen Webserver hat auf den ersten Blick allerdings korrekt ausgesehen. Wie man den HSTS-Header ausliest, um in einem solchen Fall das Troubleshooting zu betreiben, beschreibe ich in diesem Artikel.

Symptom

Der SSL Server Test von Qualys berichtet nach der Konfiguration von HSTS, dass der HSTS-Header ungültig sei.

Abrufen des HTTP-Headers mit cURL

Mithilfe des Kommandozeilenprogramms cURL kann man Dateien von oder zu einem Server zu übertragen. Ruft man es mit der Option -I auf, kann man damit unter anderem den HTTP-Header einer Webseite abrufen. Eine detailierte Beschreibung dieser Funktionalität liefert die Seite haxx.se:

(HTTP/FTP/FILE) Fetch the HTTP-header only! HTTP-servers feature the command HEAD which this uses to get nothing but the header of a document. When used on an FTP or FILE file, curl displays the file size and last modification time only.https://curl.haxx.se/docs/manpage.html

Der Aufruf dieses Befehls liefert beispielsweise für meine Seite den folgenden Rückgabewert:

$ curl -I https://maximiliankrieg.de
HTTP/1.1 200 OK
Strict-Transport-Security: max-age=63072000; includeSubdomains; preload
X-Powered-By: PHP/5.5.9-1ubuntu4.19
Set-Cookie: 8b4cc86896af6ff21730a4c7eb47cfa6=gu5h8l90p4il834avfc9v95s23; path=/; secure; HttpOnly
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Content-Type: text/html; charset=utf-8
Expires: Wed, 17 Aug 2005 00:00:00 GMT
Last-Modified: Mon, 12 Sep 2016 10:33:17 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Date: Mon, 12 Sep 2016 10:33:17 GMT
Server: lighttpd/1.4.33

Die Zeile mit Strict-Transport-Security enthält die für uns interessanten Informationen. Möchte man sich ausschließlich diese Zeile anzeigen lassen, kann man mithilfe von grep den Rückgabewert nochmals durchsuchen und filtern. Der vollständige Befehl und der reduzierte Rückgabewert sehen wie folgt aus:

$ curl -s -D- https://maximiliankrieg.de | grep Strict
Strict-Transport-Security: max-age=63072000; includeSubdomains; preload

Problem und Lösung

Der obenstehende Befehl wurde auf den betroffenen Webserver angewendet und hat dabei den Rückgabewert Strict-Transport-Security: "max-age=63072000" geliefert. Abweichend zu meinem Webserver sind Anführungszeichen um das Attribut max-age herum gesetzt. Nachdem wir die überflüssigen Anführungszeichen aus der Konfiguration entfernt haben, hat der SSL Server Test den Header korrekt eingelesen und hat schlussendlich in der Bewertung A+ resultiert.

Der Beitrag Auslesen von HSTS-Informationen aus dem HTTP-Header erschien zuerst auf Maximilian Krieg.

HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren

Maximilian — Mon, 01 Feb 2016 22:44:00 +0000

Nach einem Update meines ownCloud-Servers, bin ich vom selbigen darauf hingewiesen worden, dass ich doch bitte HTTP Strict Transport Security (HSTS) auf meinem Webserver aktivieren und mit den geeigneten Parametern konfigurieren soll. Was HSTS ist und wie man es in Lighttpd konfiguriert, möchte ich in dem heutigen Beitrag kurz anreißen.

Definition

Mit HSTS können einerseits (HTTP-)Server vorgeben, dass man die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht. Andererseits zwingt HSTS auch Anwendungsprogramme (User Agents) dazu, die Kommunikation mit Websites nur über verschlüsselte Verbindungen abzuwickeln.http://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html

Der Vorteil einer Seite mit HSTS ist es, dass ein initialer Seitenaufruf über HTTP sofort unterbunden und stattdessen nur der verschlüsselte Kanal genutzt wird. Potenzielle Man-in-the-Middle-Angriffe können somit weiter eingeschränkt werden. Ein signifikanter Nachteil entsteht jedoch im Bereich des Datenschutzes, wie die folgende Quelle gut erklärt.

Damit das HSTS-Verfahren funktioniert […], muss sich der Browser des Benutzers merken, auf welchen Webseiten HSTS genutzt werden soll. Dafür werden die entsprechenden Einträge, ähnlich zu Cookies, in einer Browserdatenbank gespeichert. Anders als gewöhnliche Cookies werden die HSTS-Einträge allerdings aufgrund der eigentlichen Sicherheitsfunktion auch im privaten Modus des Browsers […] aktiviert und können von den besuchten Webseiten überprüft werden.https://www.datenschutz-notizen.de/hsts-sicherheitsfunktion-erzeugt-datenschutzprobleme-3010259/

Nichtsdestotrotz aktiviere ich die Funktion, da die potenziellen Vorteile der Sicherheit für mich die Nachteile im Datenschutz überwiegen.

Lighttpd-Konfiguration

Lighttpd ist relativ einfach zu konfigurieren. Eine Anpassung an der /etc/lighttpd/lighttpd.conf-Datei genügt, um die Funktion für den Webserver zu aktivieren. Eine detaillierte Anleitung für unterschiedliche Webserver ist auf raymii.org zu finden.

server.modules += ( "mod_setenv" )
$HTTP["scheme"] == "https" {
    setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
}

Der Beitrag HTTP Strict Transport Security (HSTS) für Lighttpd aktivieren erschien zuerst auf Maximilian Krieg.