Die eigene Webseite mit SSL absichern

Am 30c3 habe ich mich entschlossen, meine Webseiten mit einem Zertifikat abzusichern.
Im allgemeinen Sprachgebrauch werden TLS und SSL synonym verwendet, technisch gesehen ist TLS jedoch eine Weiterentwicklung von SSL.

Zertifikat

Als ich mir die ersten Gedanken zum einsetzen von SSL Zertifikaten gemacht hatte, gab es für mich zwei mögliche Zertifikats Arten die für mich in Frage kamen: SSL Zertifikat pro (Sub)Domain oder ein Wildcard Zertifikat.

Ein Wildcard Zertifikat wird für *.domain.tld ausgestellt und ist dann für foo.domain.tld, bar.domain.tld oder wasauchimmer.domain.tld gültig. Dies ist praktisch wenn man viele verschiedene Dienste mit einer eigenen Subdomain laufen lassen will.

Dagegen ist ein „normales“ Zertifikat nur für domain.tld bzw. meist auch www. domain.tld gültig, aber nicht für blog.domain.tld.

Für mich war ein Wildcard Zertifikat definitiv die einfachere Lösung. Egal wie viele Dienste ich unter *.indero.ch aufschalten werde, mein Zertifikat hat diese bereits alle abgedeckt.

Beim Preis unterscheiden sich die die Zertifikate unter anderem sehr deutlich.  So ist ein Wildcard Zertifikat teurer als eine Normales Zertifikat, und ein EV Zertifikat (grüne Adressleiste) nochmals um einiges teurer als ein Wildcard Zertifikat. Wobei einzig beim EV Zertifikat eine Prüfung der Organisation stattfindet.  Ein normales Zertifikat gibt es schon für unter 10€. Technisch gesehen ist ein teures Zertifikat nicht sichere oder unsicherer als ein preiswertes Zertifikat.

Ein bisschen anders als oben beschrieben funktioniert es bei der Israelitischen CA StarCom. Bei dieser können gratis normale SSL Zertifkate bezogen werden. Diese Zertifikate werden auch von allen modernen Browsern akzeptiert. Möchte man aber Wildcard Zertifikate, muss man sich als Person verifizieren lassen, kann dann aber so viele Wildcard Zertifikate erstellen wie man Domains besitzt.
Für die Verifikation muss eine Kopie des Passes und des Fahrausweises gescannt und Hochgeladen werden. Mittels Telefonanruf wird dann sichergestellt, dass man die angegebene Person ist. Diese Verifikation kostet 60$ und ist ein Jahr gültig, die Zertifikate sind jedoch zwei Jahre gültig. Man kann also vor Ablauf des ersten Jahres nochmals ein Zertifikat erstellen.

Ich habe mich für StartSSL entschieden. Ich bin somit als Person von StartSSL validiert, und kann für alle meine Domains Wildcard Zertifikate erstellen.

Zertifikat erstellen

Ein Zertifikat sollte 2048 oder 4096 Bits lang sein. Wichtig ist, den Key nicht sofort nach dem Start eines Sytems zu erstellen, da dann nur wenig „Zufall“ vorhanden ist.

Einrichtung des Zertifikates auf dem Server

Ich betreibe meinen eigenen Server, dabei habe ich Zugriff auf die Konfiguration vom Webserver in meinem Falle Apache.

Die TLS Einstellungen für Apache sind Standardmässig nicht für Production gedacht. Eine gute Empfehlung für Einstellungen findet man im Mozilla Wiki.  Wichtig ist die CipherSuite welche sichere Methoden bevorzugt und ältere aus Legacy gründen noch zulässt.

Hat alles mit der Einrichtung des Zertifikates geklappt kann man seine Konfiguration bei ssllabs.com überprüfen.

Webseiten anpassen

Ich betreibe meine Webseite mit WordPress.  Damit die Umstellung auf TLS (SSL) klappt sollte man sich folgendes bewusst sein: Fremder Content muss auch via HTTPS erreichbar sein, ansonsten gibt es eine Zertifikatswarnung.

Content von Youtube, Vimeo, Flickr (Instagram jedoch nicht) ist auch über HTTPS erreichbar, dies sollte man vorher in seinen Posts/Seiten umstellen. Vimeo bietet Protokoll neutrale Codes an. Bei denen man sich keine Gedanken machen muss, ob die Seite via HTTP oder HTTP erreichbar ist.

Bei WordPress hilft ausserdem noch das Plugin WordPress-HTTPS.
Ausserdem noch ein Eintrag im .htacces um allen Traffic von HTTP auf HTTPs umzuleiten.

Fazit

Es gibt keinen Grund seine Webseite, und sei sie auch noch so klein nicht mit TLS zu sichern.

Jedoch sollte auch mit einem SSL Zertifikat der Zertifikats Industrie mit einer gesunden Portion Skepsis begegnet werden, was ein Artikel aus Frankreich sehr schön beweist.

Technische Zusatzinfo

Grundsätzlich wäre bei einer Verbindung zu einem Server TLS 1.1 oder besser TLS 1.2 wünschenswert. Das aktuelle Debian und Ubuntu LTS unterstützen beide TLS 1.2. Leider ist derzeit (01-02-2014) TLS 1.2 in Firefox und Internet Explorer noch nicht standardmässig aktiviert. Danilo hat über das Thema Firefox und TLS 1.2 geschrieben.
Das seit letztem Jahr bekannterem bekannterem „Perfect Forward Secrecy“ wird eingesetzt wenn Ephemeral Diffie-Hellman (DHE oder ECDHE, wobei ECDHE mit Eliptischen Kurven funktioniert.)  verwendet wird. ECHDE ist dabei  Ressourcen schonender aber weit weniger von den Browsern unterstützt als DHE. Ich verwende hier DHE, da das Betriebsystem des Server zwar ECDHE unterstützt, der Webserver jedoch noch nicht.

Rückblick auf den 30c3

Mit dem Ende des Jahres 2013 kam auch der 30c3, der dreissigste Chaos Communcation Congress organisiert vom Chaos Computer Club. Die Veranstaltung fand wie immer zwischen Weihnachten und Neujahr statt. Zum zweiten mal war der CCC in Hamburg im CCH zu Gast. Die dreissigste Ausgabe war auch der bisher grösste Kongress.

Der 30c3 war mein zweiter Chaos Communication Congress. Es waren wundervolle vier Tage, mit viel Mate (Club Mate und Flora Power Mate), spannenden Vorträgen und viel zu entdecken.

Ich habe hier eine Liste von Medien zusammengestellt, welche ich sehenswert oder hörenswert finde.

Videos

Andere Quellen:

Jung und Naiv

Podcasts

An dieser Stelle möchte ich mich bei allen bedanken, die diesen Kongress möglich gemacht haben, sowohl bei der Vorbereitung als auch bei der Durchführung.

Ein Jahr ohne Windows

Knapp ein Jahr ist es nun her, seit mein alter PC den Geist aufgegeben hat. Davor hat er mir 3 Jahre treue Dienste geleistet. In diesem Jahr habe ich Windows nicht vermisst. Und doch kaufe ich mir nun wieder einen PC mit Windows.

Der Auslöser dafür, war dass ich Diablo 3 ausprobieren wollte. Mein Macbook ist jedoch zu schwach um Games in hoher Auflösung und hohen Details zu spielen. Ich besitze noch andere Games (und Programme), die es leider nur für Windows gibt und ich gerne wieder einmal verwenden bzw. spielen würde.

So ist bei mir am Wochenende die Idee gereift, wieder einen PC zu kaufen. Verschiedenes kann ich noch vom alten PC verwenden wie Netzteil, Grafikkarte, (Harddisks), DVD Laufwerk. Somit ist nicht der ganze PC neu.

Ich werde wohl auch noch Ubuntu auf einer separaten Harddisk installieren.

Aus einem Schultergurt eine Handschlaufe machen.

Spiegelreflexkameras werden Standardmässig mit einem Schultergurt ausgeliefert. Nicht in allen Situationen ist der Schultergurt ideal. Manchmal würde sich hier eine Handschlaufe besser eigenen.
Vor etwa einem Jahr hat mir der @sandrowuermli am twitterbier Zürisee gezeigt wie man einfach aus dem Schultergurt eine Handschlaufe macht.

Und nun habe ich per Zufall im Internet ein Video gefunden, welches genau das beschreibt. Seht selbst:

Mein erster Mittelformat Film

Etwas zum ersten Mal machen ist immer etwas spezielles. Sei es laufen, Fahrrad fahren, fliegen, oder eben mit Mittelformat zu fotografieren. Vom Handling her hat mir die Autocord von Anfang an sehr gut gepasst. Ein Foto zu machen ist jedoch aufwändiger als mit einer 35mm Kamera, zumal die Kamera einiges schwerer ist und über keine unterstützende Elektronik verfügt.
Als Belichtungsmesser hat  mir mein iPhone mit der App Luxmeter gedient und leider habe ich trotzdem einige Fotos überbelichtet.
Dies ist unschön, denn kürzere Belichtungszeiten hätten auch ein Verwackeln von zwei Bildern verhindern können.

Die Bilder, aufgenommen mit einem Ektar 100 haben direkt aus dem Scanner einen sehr auffallenden Gelbstich. Fast schon 70s vergilbt. Mal sehen was sich da mit Lightroom machen lässt.

Ein kleines Problem hat sie, meine Autocord. Bei Belichtungszeiten um 1/30s schliesst der Verschluss nicht mehr vollständig. Dann kann man Ihn nur noch durch bewegen des Blendenrades wieder schliessen. Dies ist ärgerlich, wohl aber auf das Alter der Kamera zurückzuführen. Ich werde sie wohl mal Ölen lassen müssen.

Sobald ich die Bilder aufbereitet habe, werde ich sie hier zeigen.

100 Liegestützen in 6 Wochen – Zwischenbilanz nach zwei Wochen

Den Anfangstest habe ich bekanntlich mit 15 Wiederholungen ganz nach meinen Erwartungen abgeschlossen. Nach dem Anfangstest haben sich meine Arme schwer angefühlt. Und ich habe Muskeln im Rückenbereich gespürt, die ich schon lange nicht mehr gespürt habe.

Nach einem Tag Pause habe ich dann mit dem Training begonnen. Die Einheiten waren fordernd, aber keinesfalls überfordernd.

Am letzten Sonntag stand dann nochmals der Anfangstest auf dem Programm. Diesmal habe ich 30 Liegestützen geschafft. Dies ist eine Verdoppelung seit dem Anfang.
Momentan sollte ich laut Plan in der dritten Woche sein, ich habe mich entschlossen diese Woche eine kleine Pause einzulegen.

Ich werde wohl nächste Woche mit Woche 3 beginnen.

Neues Spielzeug – Minolta Autocord

Meine Minolta Autocord

Zu den Kameras die ich einmal besitzen möchte gehört unter anderm auch eine Rolleiflex. Bisher konnte ich mir den Wunsch einer Rolleiflex nicht erfüllen.

Heute war ich am Atelier-Fotoflohmarkt von Mike und wollte eigentlich nur schauen was es so gibt. Zu meinem Glück gab einen Rolleiflex Klon, eine Minolta Autocord, im Angebot.
Dem konnte ich nicht widerstehen und so bin ich nun glücklicher Besitzer einer Minolta Autocord.

Als Testfilm habe ich einen Kodak Ektar 100 in der Kamera. Der Film hat mir Marc von Blicksilber geschenkt.

Derzeit habe ich noch mühe damit die Kamera ruhig zu halten, da das Bild auf der Mattscheibe Seitenverkehrt ist. Zum Zeitpunkt der Veröffentlichung dieses Posts befinden sich bereits 5 Bilder auf dem Film und ich freue auf die hoffentlich gelungenen Negative.

There is an App for that – Intelligente Heimkinos.

Für alles gibt es eine App. Telefonbuch, Kochbuch, Facebook, Twitter, Kaffeemaschine. Bei letzterem kommen wir dem Thema dieses Posts schon sehr nahe. Ich schreibe über das Internet der Dinge, im speziellen das Heimkino.

Sie werden immer häufiger, die Multimedia Geräte mit einem Webinterface oder eigenen App. Eine tolle Sache eigentlich. App starten und der Musik/Film/Fernseh Genuss beginnt.
Das Problem: Jedes gerät hat seine eigene App.
Im einfachsten Fall heisst das, Fernseh App starten und geniessen.
Es gibt aber auch Leute die haben ein etwas komplizierteres Setup.

Ein Fallbeispiel:
Momentan höre ich mit einem Musikplayer Musik und möchte nun einen DVD schauen.

  1. Smartphone greifen
  2. Musikplayer App suchen
  3. Musikplayer App starten
  4. Musik aussschalten
  5. Musikplayer App verlassen
  6. Fernseh App suchen
  7. Fernseher starten
  8. Richtigen Eingang wählen
  9. Fernsehapp verlassen
  10. AV Receiver App suchen
  11. AV Receiver App starten
  12. Richtigen Eingang wählen
  13. AV Receiver App schliessen
  14. DVD Player App suchen
  15. DVD Player App starten
  16. DVD Player starten
  17. Film geniessen

Siebzehn Schritte. Nur um nicht drei verschiedene Fernbedienungen in die Hand zu nehmen. Meine Aufzählung hier ist zwar stark überzeichnet, widerspiegelt jedoch meine momentane Unzufriedenheit mit solchen Lösungen

Liebe Industrie könnt Ihr euch bitte an einen Tisch setzen und einen einheitlichen Standard entwickeln, so wie es heute das Infrarot Signal ist.
Mit Netzwerk haben wir, im Gegensatz zu Infrarot, die Möglichkeit einer zweiweg Kommunikation.
Ich kann also Prüfen wie laut ist das Gerät, ist oder es schon läuft. Dies funktioniert nicht wirklich über Infrarot.
Begrüssenswert wäre wenn dieser Standard vorhandenes nutzt, wie z.B. XML oder JSON. So kann das nicht wirklich weitergehen mit den Heimkino Apps.

100 Liegestützen in 6 Wochen

Ich gebe es zu, meine Fitness war auch schon besser. Aber als ich mit 14 Jahren wegen Knieproblemen mit Karate aufgehört habe, konnte ich mich zeitweise nicht mehr wirklich für einen Sport begeistern.

Als monah (twitter) heute Abend den Link zu 100liegestuetze.de auf twitter gepostet hat, hat mich das irgendwie herausgefordert. Sechs Wochen ist ideal um mich zu motivieren. Man sollte jedoch auch mit einbeziehen, dass man eine Woche wiederholen sollte, falls man mühe hatte mit der aktuellen Woche. Es kann also durchaus mehr als sechs Wochen werden.

Ich habe im Anfangstest 15 Liegestützen geschafft, was voll und ganz meinen Erwartungen entsprach.

Morgen beginne ich dann mit Woche 1.
Ich werde in den nächsten Wochen hier Festhalten wie es mir ergangen ist.

Bye Bye PC

Nein ich verabschiede mich nicht von PCs im allgemeinen, sondern nur von meinem. Den PC um den es hier geht habe ich mir damals im zweiten Lehrjahr gekauft.

Ich hatte am Anfang mit mehreren Problemen zu kämpfen. Unteranderem musste ich das Gehäuse austauschen weil es zu klein war für die Grafikkarte, die Timings der RAM anpassen, da sie dauernd zu Bluescreens geführt haben und den CPU lüfter gegen ein leistungsfähigeres Modell ersetzen.  Letzten Endes lief der PC dann drei Jahre lang.

Der Anfang vom Ende war als vor etwa drei Monaten die Grafikkarte ausstieg. Ich habe Sie damals ohne viel zu überlegen ersetzt, und der PC lief wieder.

Anfang Dezember hatte ich dann plötzlich Probleme den PC anzuschalten, und entschied mich dann ihn laufen zu lassen.

Und als ich heute den Bildschirm angeschaltet habe sah ich, das er wohl endgültig das zeitliche gesegnet hat, und keine bootbare Festplatte finde. Ich habe den PC damals mit einem RAID 5 aufgesetzt. Etwas das ich heute nicht mehr machen würde.

Nun werde ich wohl Mainboard, RAM, und CPU des PC ersetzen und endlich das Uprade von Vista auf Windows 7 machen.