[Admin] SSL-PrivateKey

Eike_Baran · 15. Juli 2016 um 18:12

Hallo,

ich bin gerade dabei, etwas mit friendica zu experimentieren und wollte
auf die Schnelle mal sehen, ob wir noch irgendwo ein Wildcard-Zertifikat
für unsere ffnw.de Domain liegen haben und habe zu diesem Zweck
https://wiki.ffnw.de aufgerufen.

Dabei habe ich _zufällig_ gesehen, dass in diesem Ordner seit etwa drei
Tagen unser privater Schlüssel für das ffnw-Wildcard-Zertifikat FÜR
JEDEN ÖFFENTLICH EINSEHBAR herumliegt.

Das Zertifikat können wir nun also wegschmeißen und müssen uns um Ersatz
kümmern.

Ich glaube, wir müssen wirklich mal ernsthaft über sicheres
Admin-Handeln reden. Das ist ja nun nicht unser erster Fauxpass und
sowas DARF echt nicht passieren.

Passt bitte in Zukunft auf, wie ihr mit sensiblen Daten umgeht!!!

Viele Grüße,
Eike Baran

Stefan2 · 15. Juli 2016 um 21:20

Hey Leute,

erstmal muss ich ja sagen, dass mich das Thema grad ein wenig runtergezogen hat.

Es stimmt, dass ich am Dienstag versucht habe, dass SSL Problem auf dem GIT Server zu beheben. Dabei muss mir wohl der Fehler unterlaufen sein. Ich habe die Files nicht bewusst dort abgelegt. Mehr kann ich dazu nicht sagen…

Lange Rede: Ich hab die Access Logs mir angesehen und dort sind keine Zugriffe auf die Dateien gewesen. Das Zertifikat läuft eh im August aus und wir können es gegen eine kostenfreie Variante von LetsEncrypt austauschen.

Keiner macht sowas es extra, aber es passiert auch in grosen Unternehmen. Mir persönlich ist nur wichtig, das ich zu meinen Fehlern stehe…

Es tut mir wirklich leid, macht mit mir was Ihr wollt :((

Simon_Kurka · 16. Juli 2016 um 02:19

Materpfahl!

Ne mal ehrlich: Wo gesägt wird fallen Späne. Natürlich ist das nicht cool und der Hinweis ist berechtigt.

Aber wie Stefan schon sagt: Hauptsache zu Fehlern stehen (dürfen). Stefan rockt dermaßen viel im Netz und prüft sogar anschließend mögliche schlechte Folgen. Mein Respekt dafür!

Meine Bitte Stefan: Kopf hoch. FFNW ist weiterhin ein Projekt, dass allen Beteiligten Spaß machen sollte.

Johannes_Rudolph · 16. Juli 2016 um 13:36

Moin zusammen,

Materpfahl!

So oder so ähnlich würde ich sehr gut finden

Ne mal ehrlich: Wo gesägt wird fallen Späne. Natürlich ist das nicht cool und der Hinweis ist berechtigt.

Das sehe ich genau so. Wer nichts macht macht keine Fehler!

Haben wir außer das wir ein neues Zertifikat brauchen jetzt, was wir eh bald gebraucht hätten weil das alte bald abgelaufen wäre, irgendwelche Verluste zu verzeichnen ?!

Aber wie Stefan schon sagt: Hauptsache zu Fehlern stehen (dürfen).

Ich sage erst einmal Hut Ab!
Stefan ist einer von wenigen die zu Fehlern stehen wenn sie ihm passieren. Neulichs war auf dem srv01 auch so eine Sache mit einem Apache Server …

keiner hat sich bisher dafür öffentlich an den Materpfahl gestellt und gesagt: das war ich
Stefan hat das ganze Problem mal eben auf dem Handy über SSH behoben und hat dafür einfach so mal seine Mittagspause und mehr dafür geopfert. Alle anderen haben, jedenfalls für mich sichtbar, erst mal nix gemacht.

Stefan rockt dermaßen viel im Netz und prüft sogar anschließend mögliche schlechte Folgen. Mein Respekt dafür!

Ich habe in den letzten Wochen sehr viel mit Stefan zusammen gearbeitet. Ohne Stefan und auch andere wäre unserer Server Infrastruktur nicht da wo sie jetzt ist!
Stefan opfert mehr als nur jeder freie Minute damit alles läuft.

Meine Bitte Stefan: Kopf hoch. FFNW ist weiterhin ein Projekt, dass allen Beteiligten Spaß machen sollte.

Ich sehe das auch so! Kopf hoch.
Es ist niemand zu Schaden gekommen und jeder der meckert soll es erst einmal besser machen. Ich habe großen Respekt vor der Arbeit die bisher geleistet wurde.

Stefan hat den Fehler zu gegeben und die Sache ist für mich damit erledigt wenigstens steht jemand zu seinen Fehlern! Geschadet hat er niemanden

Ich persönliche halte jede Diskussion die auf die Negative Seite bei diesem Thema abdriftet nicht für Objektiv!

Stefan opfert sich ja schon fast für Freifunk Nordwest auf. Mit Absicht hat er es bestimmt nicht getan.

Für mich ist das Thema hiermit beendet! Stefan danke für alles was du bisher schon getan hast und auch danke für deine Zeit die du Zukünftig noch investieren wirst! Ohne dich wären wir nicht da wo wir jetzt stehen!

In dem Sinne

Gruß
Johannes

Bjoern_Franke · 16. Juli 2016 um 21:21

Moin,

Lange Rede: Ich hab die Access Logs mir angesehen und dort sind keine
Zugriffe auf die Dateien gewesen. Das Zertifikat läuft eh im August
aus und wir können es gegen eine kostenfreie Variante von LetsEncrypt
austauschen.

Es läuft im März ab, also bisschen Zeit hätten wir noch gehabt

LetsEncrypt ist momentan unter Jessie etwas broken
https://community.letsencrypt.org/t/problem-while-installing-certbot/16
314/12

Keiner macht sowas es extra, aber es passiert auch in grosen
Unternehmen. Mir persönlich ist nur wichtig, das ich zu meinen
Fehlern stehe..

Es tut mir wirklich leid, macht mit mir was Ihr wollt :((

Joa, passiert

Notfalls lassen wir den Verein bei StartSSL verifizieren für 120 $ und
können dann Wildcards im Namen vom Verein ausstellen.

vg

Bjoern_Franke · 17. Juli 2016 um 08:59

Moin,

LetsEncrypt ist momentan unter Jessie etwas broken
https://community.letsencrypt.org/t/problem-while-installing-certbot/
16
314/12

Debian-incoming hat die gefixte Version:
http://incoming.debian.org/debian-buildd/pool/main/p/python-certbot/

grüße