Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 03 2012

17:28

git und https - diesmal das Serverzertifikat (done right)

git und https scheint sich hier zur "neverending story" zu mausern :-) Trotzdem muß ich zu diesem Thema nochmals dringend etwas loswerden.
Situation: Server ist eingerichtet, benutzt aber entweder ein selbstsigniertes Zertifikat oder von einer CA, die nicht "allgemein verbreitet" ist (Firmen-CA, CAcert, etc.). Folge: Git meldet

error: SSL certificate problem: self signed certificate in certificate chain while accessing https://...
fatal: HTTP request failed

Klar, woher soll git auch das Zertifikat kennen... wirft man die Meldung in Google, landet man bei Empfehlungen wie dieser hier auf stackoverflow: Per Umgebungsvariable "GIT_SSL_NO_VERIFY=true" oder git-Konfiguration "git config --global http.sslVerify false" am besten gleich global die Überprüfung abschalten, dann gibt's keine nervigen Fehlermeldungen mehr... JESUS H. CHRIST, DON'T DO THAT!

Weiterlesen

November 28 2012

16:17

Arme-Leute-Rechteverwaltung mit SSL-Client-Zertifikaten

Für ein Projekt administriere ich einen Server, auf dem verschiedene Webanwendungen laufen. Sicherheitspolicy ist, daß ein Zugriff darauf nur über https und Client-Zertifikaten möglich sein darf - so weit, so einfach.
Eine der Anwendungen ist gitlab, eine github-ähnliche Weboberfläche für git-Repositories. Erfreulicherweise begeisterten sich immer mehr Leute, die nicht direkt zum Projekt gehörten, für git... und dann folgte der Klassiker: Es soll nun Leute geben, die ausschließlich auf gitlab, aber auf keine der anderen Anwendungen zugreifen können. Also mußte zusätzlich zur Authentisierung noch eine Authorisierung her... aber wie? Die Rechtekontrolle sollte auf Basis von URL (bzw. URL-Teil) sowie den Client-Zertifikaten erfolgen und außerdem "abwärtskompatibel" zu den bereits ausgegebenen Zertifikaten sein.
Wer ebenfalls in eine solche Situation kommt - folgende Möglichkeiten sind mir hierzu eingefallen:

Weiterlesen

April 10 2012

19:19

HtmlUnit mit https und Client-Zertifikaten

HtmlUnit ist eine Java-Bibliothek, welche eine Art "headless Webbrowser" zur Verfügung stellt - Seitenabrufe, Suche nach Elementen auf Seiten und anschließende Aktionen lassen sich hiermit programmieren (beispielsweise für Integrationstest das Ausfüllen eines Login-Formulars und anschließende Klicken des Login-Buttons). Unglücklicherweise bietet HtmlUnit keine geradlinige Unterstützung für https - insbesondere bei der Verwendung von Client-Zertifikaten ist man schlichtweg aufgeschmissen.
Unter der Haube verwendet das aktuelle HtmlUnit zum Aufbau von Verbindungen die Apache HttpComponents; in früheren Versionen war es Apache HttpClient - hier konnte man mit dem hier beschriebenen Trick die Clientzertifikate "unterschieben". Nach einigem Graben in den Untiefen der Bibliothek habe ich nun einen Weg gefunden, mit dem es auch in der aktuellen Version möglich ist.

Weiterlesen

March 09 2012

06:23

Rückblick zum gestrigen Vortrag "Verschlüsselung in der Praxis"

Gestern durfte ich im Rahmen der Vortragsreihe des CCCS anderthalb Stunden über "Verschlüsselung im Alltag" berichten. Schwerpunktmäßig ging es um https (und allem, was bei der Benutzung des Browsers schiefgehen kann) und Mailverschlüsselung mit PGP. Wichtig war mir, anhand von Beispielen herauszuarbeiten, an welchen Stellen die Verschlüsselungstechniken schützen, und an welchen Punkten die Technik nicht ausreicht (bzw. der gesunde Menschenverstand gefordert ist). Außerdem ging es natürlich um das Problem, das die hierarchischen CAs momentan haben (und im Gegensatz dazu den Ansatz, den PGP verfolgt).
Die Veranstaltung war gleich mehrfach spannend: Das technische Experiment des Abends war ein Audio-Livestream, außerdem hatte ich Live-Demos für die Browserangriffe vorbereitet. Alles Dinge, die schiefgehen können - und dann füllte sich der Saal soweit, daß zwei Mal Stühle nachgeholt werden mußten... zu Vortragsbeginn saßen rund 100 Leute im Publikum.

Weiterlesen

August 01 2011

06:50

May 26 2011

21:08

October 27 2010

14:58

git-Server mit https und Client-Zertifikaten

Für ein neues (geschäftliches) Projekt fiel die Wahl für das Versionskontrollsystem auf git. Unglücklicherweise sind die einzigen Protokolle, was sämtliche Firmenfirewalls (halbwegs) unbeschadet passieren, http und https. Als weitere Sicherungsmaßnahme soll die Authentisierung über Client-Zertifiakte erfolgen.
Benötigt habe ich auf Serverseite apache2, die Module für webdav und ssl, sowie natürlich git. Alles zusammen sicher kein Hexenwerk, aber bis man die einzelnen Informationen zusammengesammelt hat dauert es ein wenig... damit's beim nächsten Mal schneller geht, notiere ich das hier als Kochrezept :-)

Weiterlesen

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl