Hallo,
ich bin gerade dabei, etwas mit friendica zu experimentieren und wollte auf die Schnelle mal sehen, ob wir noch irgendwo ein Wildcard-Zertifikat für unsere ffnw.de Domain liegen haben und habe zu diesem Zweck https://wiki.ffnw.de aufgerufen.
Dabei habe ich _zufällig_ gesehen, dass in diesem Ordner seit etwa drei Tagen unser privater Schlüssel für das ffnw-Wildcard-Zertifikat FÜR JEDEN ÖFFENTLICH EINSEHBAR herumliegt.
Das Zertifikat können wir nun also wegschmeißen und müssen uns um Ersatz kümmern.
Ich glaube, wir müssen wirklich mal ernsthaft über sicheres Admin-Handeln reden. Das ist ja nun nicht unser erster Fauxpass und sowas DARF echt nicht passieren.
Passt bitte in Zukunft auf, wie ihr mit sensiblen Daten umgeht!!!
Viele Grüße, Eike Baran
Hey Leute,
erstmal muss ich ja sagen, dass mich das Thema grad ein wenig runtergezogen hat.
Es stimmt, dass ich am Dienstag versucht habe, dass SSL Problem auf dem GIT Server zu beheben. Dabei muss mir wohl der Fehler unterlaufen sein. Ich habe die Files nicht bewusst dort abgelegt. Mehr kann ich dazu nicht sagen..
Lange Rede: Ich hab die Access Logs mir angesehen und dort sind keine Zugriffe auf die Dateien gewesen. Das Zertifikat läuft eh im August aus und wir können es gegen eine kostenfreie Variante von LetsEncrypt austauschen.
Keiner macht sowas es extra, aber es passiert auch in grosen Unternehmen. Mir persönlich ist nur wichtig, das ich zu meinen Fehlern stehe..
Es tut mir wirklich leid, macht mit mir was Ihr wollt :((
Am 15. Juli 2016 20:12:32 MESZ, schrieb Eike Baran via Admin admin@lists.ffnw.de:
Hallo,
ich bin gerade dabei, etwas mit friendica zu experimentieren und wollte auf die Schnelle mal sehen, ob wir noch irgendwo ein Wildcard-Zertifikat für unsere ffnw.de Domain liegen haben und habe zu diesem Zweck https://wiki.ffnw.de aufgerufen.
Dabei habe ich _zufällig_ gesehen, dass in diesem Ordner seit etwa drei Tagen unser privater Schlüssel für das ffnw-Wildcard-Zertifikat FÜR JEDEN ÖFFENTLICH EINSEHBAR herumliegt.
Das Zertifikat können wir nun also wegschmeißen und müssen uns um Ersatz kümmern.
Ich glaube, wir müssen wirklich mal ernsthaft über sicheres Admin-Handeln reden. Das ist ja nun nicht unser erster Fauxpass und sowas DARF echt nicht passieren.
Passt bitte in Zukunft auf, wie ihr mit sensiblen Daten umgeht!!!
Viele Grüße, Eike Baran
Admin mailing list Admin@lists.ffnw.de https://lists.ffnw.de/mailman/listinfo/admin
Moin,
Lange Rede: Ich hab die Access Logs mir angesehen und dort sind keine Zugriffe auf die Dateien gewesen. Das Zertifikat läuft eh im August aus und wir können es gegen eine kostenfreie Variante von LetsEncrypt austauschen.
Es läuft im März ab, also bisschen Zeit hätten wir noch gehabt ;)
LetsEncrypt ist momentan unter Jessie etwas broken :/ https://community.letsencrypt.org/t/problem-while-installing-certbot/16 314/12
Keiner macht sowas es extra, aber es passiert auch in grosen Unternehmen. Mir persönlich ist nur wichtig, das ich zu meinen Fehlern stehe..
Es tut mir wirklich leid, macht mit mir was Ihr wollt :((
Joa, passiert ;)
Notfalls lassen wir den Verein bei StartSSL verifizieren für 120 $ und können dann Wildcards im Namen vom Verein ausstellen.
vg
Moin,
LetsEncrypt ist momentan unter Jessie etwas broken :/ https://community.letsencrypt.org/t/problem-while-installing-certbot/ 16 314/12
Debian-incoming hat die gefixte Version: http://incoming.debian.org/debian-buildd/pool/main/p/python-certbot/
grüße