Heronovo

Rubrika: SSL

  • Let’s Encrypt bez roota na GitLabu

    Autoritu Let’s Encrypt asi netřeba představovat. Jedná se o projekt veřejné certifikační autority, která zdarma vydává SSL certifikáty pro použití na webu a internetu obecně.

    Autorita sází na automatické ověřování a automatické obnovování certifikátů. Certifikáty mají platnost pouze 3 měsíce, tedy nějaké ruční ověřování a ruční instalace není příliš pohodlná. K ověření a vystavení certifikátu je nutné použít nějakého ACME klienta. Těch je víc, ale nejčastější a doporučovaný je certbot vyvíjený pod záštitou EFF. Navíc je k disposici jako balíček v repositáři většiny distribucí.
    (Pokračování textu…)

  • testssl.sh

    Roky používám na otestování nastavení SSL / TLS webový scanner od Qualys SSL Labs SSL Test. Jenže, ten je webový, to znamená že otestuje pouze servery vystavené do internetu a také se výsledky testů ukládají někam, kam možná ani nechcete (aneb stejně jako různé webové „testery“ na hesla, toto může sloužit pro vytipování méně zabezpečených cílů).

    SSL Labs Test

    Zkrácená ukázka výstupu:

    SSLTest_Heronovo

    Na druhou stranu SSL Labs k výsledkům poskytne dobrou interpretaci a doporučení, co a jak zlepšit.

    (Pokračování textu…)

  • Jak poznat, zda certifikát podepsala daná autorita

    Další z řady krátkých návodů. Po jednoduchém příkazu jak zjistit, zda klíč a certifikát tvoří pár se dnes mrkneme na to, jak poznat, zda je certifikát podepsaný certifikátem autority.

    Pomocí příkazu:

    openssl verify -CAfile CA.crt www.domena.crt

    snadno určíme, zda certifikát www.domena.crt je podepsaný certifikátem autority v souboru ca.crt. Což se hodí v případě hledání problému s crt, který prohlížeč tvrdošíjně odmítá. Občas je podepsaný jiným crt, než prohlížeči předkládáme. Očekáváme návratový kód 0. V manuálu jsou pak další podrobnosti a návratové kódy o případné chybě při ověřování (pro použití ve skriptu). Při použití na řádce to ale není nutné.

  • Návod krok za krokem, jak si nastavit poštovní server

    Nastavení poštovního serveru je poměrně snadné a v podstatě se sestává z instalace postfix a dovecotu přímo z distribuce (platí alespoň pro RHEL, Debian a Ubuntu, předpokládám, že v ostatních distribucích to bude stejné). Funguje to out of the box už pořádně dlouho, stačí v podstatě nastavit jen mydomain a MX záznamy. V praxi je toho potřeba o malinko víc.

    (Pokračování textu…)

  • Jak snadno poznat zda certifikát a soukromý klíč patří k sobě

    Generování žádosti o certikát je snadné a poměrně přímočaré. Většinou se generuje pár klíčů, jeden soukromý a jeden veřejný. Ten veřejný, společně s dalšími informacemi, tvoří žádost o certifikát, který se pošle na autoritu a ta jej podepíše (podepíše právě ty další informace jako common name apod.). I když se to nedoporučuje, jeden soukromý klíč může sloužit pro více certifikátů.

    (Pokračování textu…)

  • Bezpečnější web s https

    Krátký návod, jak nastavit Apache pro provoz HTTPS. Seznámíte se s pojmy certifikát a certifikační autorita a dozvíte se, že ne všem můžete slepě důvěřovat Původně vyšlo na portálu LinuxEXPRES.

    (Pokračování textu…)