29
Serverzertifikate künftig nur noch 90 Tage gültig?
Moin,
Google strebt aktuell an, dass Serverzertifikate nur noch 90 Tage lang gültig sein sollen:
https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-fo ...
Jetzt habe ich aktuell schon mehrmals im Jahr (aufgrund unterschiedlicher Laufzeiten) das "Vergnügen", Serverzertifikate auszutauschen. Für nahezu jedes System ist der Ablauf unterschiedlich. Das darf ich jetzt als Dauerbeschäftigung ansehen. Zwar ist über ACME eine Automatisierung möglich, das Einbasteln der Zertifikate in den jeweiligen Server / die Appliance nimmt mir das aber nicht ab, wenn das System nicht gerade Lets's Encrypt unterstützt.
Was meint Ihr?
Gruß
Google strebt aktuell an, dass Serverzertifikate nur noch 90 Tage lang gültig sein sollen:
https://www.chromium.org/Home/chromium-security/root-ca-policy/moving-fo ...
Jetzt habe ich aktuell schon mehrmals im Jahr (aufgrund unterschiedlicher Laufzeiten) das "Vergnügen", Serverzertifikate auszutauschen. Für nahezu jedes System ist der Ablauf unterschiedlich. Das darf ich jetzt als Dauerbeschäftigung ansehen. Zwar ist über ACME eine Automatisierung möglich, das Einbasteln der Zertifikate in den jeweiligen Server / die Appliance nimmt mir das aber nicht ab, wenn das System nicht gerade Lets's Encrypt unterstützt.
Was meint Ihr?
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6553524028
Url: https://administrator.de/contentid/6553524028
Printed on: April 27, 2024 at 09:04 o'clock
29 Comments
Latest comment
Moin,
automatisieren.
Gruß
automatisieren.
Gruß
Moin,
äh ja. Wenn der Server denn eine Automatisierung anbietet.
Gruß
äh ja. Wenn der Server denn eine Automatisierung anbietet.
Gruß
Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen, also ran an den Speck.
Cheers briggs
1Zitat von @6247018886:
Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen.
Cheers briggs
Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen.
Cheers briggs
Dies. Wenn ich das automatisiere, ist mir egal ob das Zertifikat alle 360, 180, 90 oder jeden Tag ausgetauscht werden muss.
Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen.
D.h., mein Wille und meine Tatkraft müssen nur groß genug sein, um den Hersteller einer Hardware-Appliance, die sowas bisher nicht kann, davon zu überzeugen, dass er das umsetzt?
Gruß
Welche Hardware-Appliance kann das nicht? Ich zweifle daran. Und falls doch, wurde bei der Auswahl geschlampt.
Im Normalfall reicht es ja die Certs am Reverse-Proxy zu erneuern, oder stellst du Black-Boxes und embedded devices direkt mit nacktem A... ins Internet??
um den Hersteller einer Hardware-Appliance, die sowas bisher nicht kann, davon zu überzeugen, dass er das umsetzt?
Dann hat man die falschen Hersteller gewählt. Aber selbst die kann man automatisieren wenn man kreativ ist, und wenn es am Ende eine UI-Automation sein muss, gehen tut das alles.
Bei Barracuda finde ich nur etwas zur WAF, die wir aber nicht einsetzen. Nur so als Beispiel. Oder gibt es Workarounds?
Gruß
Gruß
Im Normalfall reicht es ja die Certs am Reverse-Proxy zu erneuern, oder stellst du Black-Boxes und embedded
devices direkt mit nacktem A... direkt ins Internet??
devices direkt mit nacktem A... direkt ins Internet??
Das wäre der Haken, mit Reverse Proxy funktioniert es nur im lokalen LAN? Wäre z.B. hier beschrieben:
Ihttps://www.reddit.com/r/letsencrypt/comments/11egihn/can_i_make_a_lets_ ...
Und wenn ich bspw. ein VPN habe, muss ich doch im Prinzip eine direkte Außenverbindung haben?
Gruß
Blödsinn! Solltest dir nochmal die Funktionsweise eines ReverseProxies anlesen.
Btw. Barracuda mit letsencrypt
https://campus.barracuda.com/product/webapplicationfirewall/doc/84313865 ...
Und wenn ich bspw. ein VPN habe, muss ich doch im Prinzip eine direkte Außenverbindung haben?
Bei VPN kommt Google doch gar nicht ins Spiel ...Btw. Barracuda mit letsencrypt
https://campus.barracuda.com/product/webapplicationfirewall/doc/84313865 ...
OK, d.h. Reverse Proxy ist in jedem Falle Pflicht?
EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Gruß
EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Gruß
Nicht in jedem Fall aber bei Geräten die man nicht unter Kontrolle hat und von außen zugänglich macht will ich persönliche Kontrolle was da alles rein geht.
Zitat von @Coreknabe:
EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Ja was nutzt ihr denn dann drauf? VPN Responder?EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Da ist es egal was Google macht, da kannst du mit eigenen Zertifikaten machen was du willst.
OK, danke, dann fummel ich mich da mal rein...
Gruß
Gruß
Ja was nutzt ihr denn dann drauf? VPN Responder?
Wir nutzen gar nichts darauf, das war nur ein Beispiel. Ich möchte jetzt nur nicht unsere gesamte Infrastruktur hier auflisten. Aus Gründen.
Gruß
Zitat von @Coreknabe:
OK, d.h. Reverse Proxy ist in jedem Falle Pflicht?
EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Gruß
OK, d.h. Reverse Proxy ist in jedem Falle Pflicht?
EDIT: Der Link mit der WAF beschreibt eben NUR die WAF, die wir, wie bereits erwähnt, nicht im Einsatz haben.
Gruß
Moin,
bei der ClodGen FW wäre allenfalls der HTTP Proxy ein Thema. Hier gibt es, soweit ich weiß, keine automatische Aktualisierung.
Bei den anderen Features kommt das ganz nicht zum tragen.
Gruß
Spirit
1
Das das alles voll nervig ist.
Ich glaube auch nicht, dass sich die Sicherheit dadurch erhöht.
Ja, automatisierung ist schön und funktioniert.
Auch können alle System die ich nutzte/betreue das theoretisch.
Ich betreue nur wenige Kunden und haben viele verschiedene Dinge die alle nur 1-2 mal vorkommen. Vom IPMI, ESXi, QNAP, Apache, NGINX, OWA/ECP, etc.
Das für jedes System hinzufummeln ist doch schon aufwendig/nervig. Und es muss kontrolliert/gemonitort werden.
Als Zertifikate noch 3 Jahre gültig waren: kaufen, easy
12 Monate: kaufen, nervig
3 Monate: Ablaufen lassen, LE hinfummeln oder halt kein Zertifikat (z.B. IPMI)
Stefan
Ich glaube auch nicht, dass sich die Sicherheit dadurch erhöht.
Ja, automatisierung ist schön und funktioniert.
Auch können alle System die ich nutzte/betreue das theoretisch.
Ich betreue nur wenige Kunden und haben viele verschiedene Dinge die alle nur 1-2 mal vorkommen. Vom IPMI, ESXi, QNAP, Apache, NGINX, OWA/ECP, etc.
Das für jedes System hinzufummeln ist doch schon aufwendig/nervig. Und es muss kontrolliert/gemonitort werden.
Als Zertifikate noch 3 Jahre gültig waren: kaufen, easy
12 Monate: kaufen, nervig
3 Monate: Ablaufen lassen, LE hinfummeln oder halt kein Zertifikat (z.B. IPMI)
Stefan
2
Moins.
Lese ich den Artikrl falsch, oder geht es hier nur um die root-CAs ?
... als [dot].tld
... und zudem [dot]google[dot].tld
Es betrifft m.E. nicht unsere einzelnen Server | Geräte - Zertifikate ?!
.
Lese ich den Artikrl falsch, oder geht es hier nur um die root-CAs ?
... als [dot].tld
... und zudem [dot]google[dot].tld
Es betrifft m.E. nicht unsere einzelnen Server | Geräte - Zertifikate ?!
.
Es betrifft m.E. nicht unsere einzelnen Server | Geräte - Zertifikate ?!
Gruß
@Coreknabe
Solange die nur intern erreichbar sind, sollte das Tante Google grad egal sein......ich denke es geht nur um öffentlich erreichbare Server/Dienste/etc.
Solange die nur intern erreichbar sind, sollte das Tante Google grad egal sein......ich denke es geht nur um öffentlich erreichbare Server/Dienste/etc.
Solange die nur intern erreichbar sind, sollte das Tante Google grad egal sein......
Jein, die Zertifkatwarnmeldung erhalte ich ja trotzdem, intern ist das aber relativ egal.
Aber letztlich hast Du Recht, es geht um die öffentlich erreichbaren Kisten.
Gruß
Und bei den internen Zertifikaten kann ich den Erneuerungszyklus ja rel. frei definieren.
Hier funktioniert das bei den meisten Dingen automatisiert. Lediglich ein paar Geräte werden das verweigern.
Hier funktioniert das bei den meisten Dingen automatisiert. Lediglich ein paar Geräte werden das verweigern.
Zitat von @6247018886:
Im Normalfall reicht es ja die Certs am Reverse-Proxy zu erneuern
Der wichtigste Satz dieses Threads.Im Normalfall reicht es ja die Certs am Reverse-Proxy zu erneuern
Stefan hat schon Recht, das ist alles etwas nervig, aber für intern-only kann man bei Kleinkunden ja auch durchaus verzichten und für extern ist der Reverse Proxy ohnehin Pflicht.
Und der ist mit Samba/Nginx in 10 Minuten aufgesetzt.
https://httpd.apache.org/docs/2.4/howto/reverse_proxy.html
Viele Grüße, commodity
Bestens, vielen Dank für Euren Input!
Gruß
Gruß
Hab in meiner Doku noch einen etwas hübscheren Link gefunden, der das SSL-Thema konkreter aufgreift:
https://legacy.thomas-leister.de/apache-reverse-proxy-mit-ssl-support-ei ...
Viele Grüße, commodity
https://legacy.thomas-leister.de/apache-reverse-proxy-mit-ssl-support-ei ...
Viele Grüße, commodity
normalerweise lässt sich alles automatisieren... Selbst wenn das die hardware nicht kann - dann gibts sprachen wie "expect" oder ggf. Tools wie Ansible mit denen man das hinbekommt.. wer heute noch sowas immer zu fuss erledigt hat die letzten 10+ Jahre aber mal tief gepennt, oder?
Moin,
für Nginx habe ich noch das hier gefunden:
https://indibit.de/reverse-proxy-mit-nginx-mehrere-server-hinter-einer-i ...
Gruß
für Nginx habe ich noch das hier gefunden:
https://indibit.de/reverse-proxy-mit-nginx-mehrere-server-hinter-einer-i ...
Gruß
Moin,
Grundsätzlich muss das Ganze noch vom CA Browser Forum beschlossen wird. Das wird noch ein paar Tage dauern.
Gruß,
Dani
Welche Hardware-Appliance kann das nicht? Ich zweifle daran. Und falls doch, wurde bei der Auswahl geschlampt.
es gibt noch genug Appliances, die da Nachholbedarf haben.Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen, also ran an den Speck.
Ja, man braucht aber auch die Ressourcen (Personal, Zeit und Geld) dafür. Da wirst du wenige Unternehmen finden, die das aktiv begleiten und umsetzen. War bisher vermutlich auch eine Frage der Wirtschaftlichkeit. Denn die SSL-Zertifikat mit 1 Jahr Laufzeit waren günstig und der Aufwand diese zu installieren ist überschaubar.Grundsätzlich muss das Ganze noch vom CA Browser Forum beschlossen wird. Das wird noch ein paar Tage dauern.
Gruß,
Dani
1
Moin,
danke @Dani, genau das stimmt! Natürlich gibt es immer Best Practices, aber hier vergessen gern einige, was so täglich an Arbeit anfällt. Da gibt es Profis in ihrem jeweiligen Bereich, die den ganzen Tag nix anderes machen. Ich für meinen Teil bin hier Mädchen für alles. Da bleibt für die perfekte Lösung nicht immer die Zeit, zumal es bei vielen Dingen auch Einarbeitungszeit benötigt. Theoretisch geht alles, aber das muss auch umsetzbar sein.
Das Argument "Welche Hardware-Appliance kann das nicht? Ich zweifle daran. Und falls doch, wurde bei der Auswahl geschlampt." zieht absolut nicht, auch wenn es IT-Genies gibt, die bei Planung und Anschaffung natürlich alles berücksichtigen und darüberhinaus auch noch in die Zukunft schauen können.
Letztlich aber hat mir dieser Thread bei der Suche nach einem Lösungsansatz geholfen --> Reverse Proxy. Vielen Dank dafür!
Gruß
Zitat von @Dani:
Moin,
Grundsätzlich muss das Ganze noch vom CA Browser Forum beschlossen wird. Das wird noch ein paar Tage dauern.
Gruß,
Dani
Moin,
Welche Hardware-Appliance kann das nicht? Ich zweifle daran. Und falls doch, wurde bei der Auswahl geschlampt.
es gibt noch genug Appliances, die da Nachholbedarf haben.Äh nö, automatisieren lässt sich alles, man muss nur wollen und es auch machen, also ran an den Speck.
Ja, man braucht aber auch die Ressourcen (Personal, Zeit und Geld) dafür. Da wirst du wenige Unternehmen finden, die das aktiv begleiten und umsetzen. War bisher vermutlich auch eine Frage der Wirtschaftlichkeit. Denn die SSL-Zertifikat mit 1 Jahr Laufzeit waren günstig und der Aufwand diese zu installieren ist überschaubar.Grundsätzlich muss das Ganze noch vom CA Browser Forum beschlossen wird. Das wird noch ein paar Tage dauern.
Gruß,
Dani
danke @Dani, genau das stimmt! Natürlich gibt es immer Best Practices, aber hier vergessen gern einige, was so täglich an Arbeit anfällt. Da gibt es Profis in ihrem jeweiligen Bereich, die den ganzen Tag nix anderes machen. Ich für meinen Teil bin hier Mädchen für alles. Da bleibt für die perfekte Lösung nicht immer die Zeit, zumal es bei vielen Dingen auch Einarbeitungszeit benötigt. Theoretisch geht alles, aber das muss auch umsetzbar sein.
Das Argument "Welche Hardware-Appliance kann das nicht? Ich zweifle daran. Und falls doch, wurde bei der Auswahl geschlampt." zieht absolut nicht, auch wenn es IT-Genies gibt, die bei Planung und Anschaffung natürlich alles berücksichtigen und darüberhinaus auch noch in die Zukunft schauen können.
Letztlich aber hat mir dieser Thread bei der Suche nach einem Lösungsansatz geholfen --> Reverse Proxy. Vielen Dank dafür!
Gruß
1