-------------------------------------------------------------------------------- Diese Shownotes wurden automatisiert aus extrahiert, siehe . -------------------------------------------------------------------------------- ## Schneezember 2015 Thema: Letsencrypt NSA to shut down bulk phone surveillance program by Sunday Nov 29 Überwachung für alle: Open Source License Plate Reader Brazil verbietet Whatsapp, 1.5 Mio. neue Telegram-User an 1 Tag Backdoors in Juniper Routern \<\> HTTP 451 jetzt offiziell \<\> Doubled Paid Traffic (Hetzer) - Bash sucht ein neues Logo \<\> Ha ha, Oracle muss Java löschen (updaten) \<\> Der SAP-Konkurrent Oracle muss nach Ermittlungen der US-Aufsichtsbehörde Federal Trade Commission (FTC) das Verfahren beim Stopfen von Sicherheitslücken in Java nachbessern. Java soll auf mehr als 850 Millionen Computern zum Einsatz kommen. Die FTC hatte angeprangert, dass bei Sicherheits-Updates von Java jeweils nur die aktuelle Version ausgetauscht worden sei. Ältere Varianten seien dabei schlicht ignoriert worden und weiter auf den Geräten der Nutzer geblieben; was ein Sicherheitsrisiko ist. Auf ältere Java-Versionen hinweisen Joomla CMS nicht sicher gekriegt, PHP-Version ist schuld \<\> Seit 18.12. haben wir wieder VDS \<\> Der Jurist \[Meinhard Starostik\] wies darauf hin, dass Bayern bereits dem Landesamt für Verfassungsschutz Zugriff auf die Metadaten geben wolle, obwohl die Tinte unter dem Gesetz noch gar nicht getrocknet sei. Lücke im Linux-Bootloader: Backspace-Taste umgeht Grub-Passwort \< \> ### Letsencrypt - Einführung: - - TLS: - Häufigster Anwendungsfall von Zertifikaten - Verweiß auf Sendung SSL Juni 2010: (hier wird die Verschlüsselung erklärt - symmetrische/asymmetrische Verschlüsselung, Deffi-Helmann) - TLS - Begriffe-Bingo: SSL, TLS, STARTTLS - oft im Zusammenhang mit Emailclientkonfiguration - SSL, TLS: eigentlich Protokollversionen (keine Varianten) - (SSLv1 nie veröffentlicht) - SSLv2, SSLv3, TLS 1.0, TLS 1.2 - SSLv2: 1995, definitiv lange kaputt (MD5, Truncation Attacke) - SSLv3: 1996, POODLE - On Tuesday, October 14, 2014, Google released details on the POODLE attack, a padding oracle attack that targets CBC-mode ciphers in SSLv3. The vulnerability allows an active MITM attacker to decrypt content transferred an SSLv3 connection. While secure connections primarily use TLS (the successor to SSL), most users were vulnerable because web browsers and servers will downgrade to SSLv3 if there are problems negotiating a TLS session. - TLS spezifiert nur das Protokoll des Sitzungsaufbaus, die Verschlüsselungsalgorithmen - Cipher genannt, sind austauschbar - goto fail; - Was CAs sind und wie das Vertrauensmodell aufgebaut ist (vielleicht will \$jemand dabei noch ein paar Sätze zu CAcert erzählen) - "Domain Validation" (DV) - "Organization Validation" (OV) - "Extended Validation" (EV) - PKCS#10 Certificate Signing Request - Json Web Security - Was Zertifikate sind (X.509) und wie man dazu kommt - Wie letsencrypt und ACME letztendlich funktioniert - Anwendungsfall: - Häufig sehr zeitaufwendig, Zertifikate zu erstellen, Domains zu validieren und Zertifikate zu aktualisieren - Ziel Zertifikat ohne Eingriff eines Menschen - - Acme bietet die Möglichkeit dies zu automatisieren: - HTTP basiertapplication/jose+json - Austausch von JSON-Nachrichten auf spezifizierten Pfaden - Account automatisch erstellbar (durch erzeugung eines Schlüsselbundes) - Domain-Validierung: - HTTP 01: - {scheme}://{domain}/.well-known/acme-challenge/{token} - http/https - application/jose+json - DVSNI: Domain Validation with Server Name Indication - dNSName “\.\.acme.invalid - auch für nicht webserver interessant - DNS: TXT \_acme-challenge.example.com. "gfj9Xq...Rg85nM" - IETF-Standard - evtl. noch ein paar Dinge zur Infrastruktur und auf die Talks auf dem 32c3 hinweisen: - - caddy: \$ caddy -agree=true -host "higgsboson.tk"