Zertifikate ab sofort von Let’s Encrypt

Ab sofort setze ich nur noch Zertifikate von Let’s Encrypt ein.

Let’s Encrypt (englisch, „Lasst uns verschlüsseln“) ist eine Zertifizierungsstelle, die Ende 2015 in Betrieb gegangen ist und kostenlose X.509-Zertifikate für Transport Layer Security (TLS) anbietet. Dabei ersetzt ein automatisierter Prozess die bisher gängigen komplexen händischen Vorgänge bei der Erstellung, Validierung, Signierung, Einrichtung und Erneuerung von Zertifikaten für verschlüsselte Websites.

Diese Zertifikate werden automatisch alle 3 Monate ohne mein weiteres zutun erneuert. Aus diesem Grund veröffentliche ich hier auch keine Fingerprints mehr.
Das Zertifikat ist gültig, wenn es von Let’s Encrypt für die Domain twattle.net ausgestellt wurde und nicht abgelaufen ist.
Solltest du dir unsicher sein, ob das jeweils aktuelle Zertifikat gültig ist, kannst du mich gerne kontaktieren.

Neues Zertifikat

Der Server hat heute ein neues Zertifikat erhalten.

Im folgenden die Fingeradrücke, damit Du das Zertifikat überprüfen kannst.

Alt: 3E:AE:91:93:7E:C8:5D:74:48:3F:F4:B7:7B:07:B4:3E:2A:F3:6B:F4
Neu: F8:EC:4B:30:BD:77:5D:CE:F1:BA:F0:B4:26:05:82:02:8B:7B:4E:13

Das Zertifikat ist gültig für die Website, für den XMPP Server und für den Mumble-Server.

Serverausfall vom 14.4.2015 8:45 Uhr bis 15.4.2015 10:30 Uhr

Oh man, das ist bitter… Am 14.4.2015 hat um 8:45 Uhr der Out Of Memory Killer zugeschlagen und zuerst den XMPP Server, dann die Datenbank und danach den Webserver abgeschossen.

Zum Glück überwache ich diese Dienste ja und bekomme eine Mail wenn etwas nicht funktioniert. Dummerweise ist das gleiche auch auf meinem Mailserver passiert. Dort wurde am Sonntag der Virenscanner vom Out Of Memory Killer abgeschossen und die Mails landeten daher in der Deferred-Queue und wurden nicht mehr zugestellt.

Also habe ich bis heute nicht mitbekommen, dass Twattle.net nicht mehr funktionierte.

Ich finde dieses over-commitment Konzept von Linux ja irgendwie merkwürdig. Der Kernel verspricht den Programmen, dass sie viel Speicher bekommen können, hofft aber, dass sie diesen niemals tatsächlich anfordern werden, weil der Rechner diesen Speicher gar nicht hat. Fordert ein Programm dann mal mehr Speicher an als noch verfügbar ist, dann kommt der Out Of Memory Killer und sucht sich ein Programm aus, welches viele Ressourcen verwendet und beendet es einfach. Der Server ist danach in einem undefinierten Zustand und wichtige Dinge funktionieren nicht mehr.

Das ist dann so ähnlich wie in dieser erfundenen Geschichte:

An aircraft company discovered that it was cheaper to fly its planes with less fuel on board. The planes would be lighter and use less fuel and money was saved. On rare occasions however the amount of fuel was insufficient, and the plane would crash. This problem was solved by the engineers of the company by the development of a special OOF (out-of-fuel) mechanism. In emergency cases a passenger was selected and thrown out of the plane. (When necessary, the procedure was repeated.)  A large body of theory was developed and many publications were devoted to the problem of properly selecting the victim to be ejected.  Should the victim be chosen at random? Or should one choose the heaviest person? Or the oldest? Should passengers pay in order not to be ejected, so that the victim would be the poorest on board? And if for example the heaviest person was chosen, should there be a special exception in case that was the pilot? Should first class passengers be exempted?  Now that the OOF mechanism existed, it would be activated every now and then, and eject passengers even when there was no fuel shortage. The engineers are still studying precisely how this malfunction is caused.

Quelle: Andries Brouwer – lwn.net/Articles/104185/, Fri, 24 Sep 2004 01:45:20 +0200

Ich bitte vielmals um Entschuldigung. Ich werde mein Überwachungskonzept und einige Konfigurationen anpassen und hoffe, dass so etwas nicht wieder passiert.

Neues Zertifikat

Der Server hat heute ein neues Zertifikat erhalten. Dieses ist gültig bis zum 7. April 2016.

Im folgenden die SHA-1 Fingeradrücke, damit Du das Zertifikat überprüfen kannst.

Alt: 6B:19:E9:2E:05:ED:A7:DF:F5:44:25:AC:ED:33:1F:F2:BC:40:C4:3E
Neu: 35:5F:56:04:C5:C7:9F:40:DA:6A:BC:6A:5A:B4:86:68:AF:12:13:C1

Das Zertifikat ist gültig für die Website, für den XMPP Server und für den Mumble-Server.

Verschlüsselung des XMPP Netzwerks – Permanenter Betrieb

Wie hier näher erläutert wird der XMPP Server ab heute nur noch verschlüsselte Verbindungen akzeptieren.

Die Testphase ist beendet und ab jetzt werden nur noch verschlüsselte Verbindungen zugelassen.

Verschlüsselung des XMPP Netzwerks – Vierter Testtag

Wie hier näher erläutert wird der XMPP Server heute nur noch verschlüsselte Verbindungen akzeptieren.

Solltet ihr Probleme haben meldet euch bitte.

Serverausfall vom 14.4.2014

Leider hat es gestern einen unangenehmen Ausfall des Servers gegeben. Um ca. 16:15 Uhr hat mein Hoster die IPv4 Adresse meines Servers gesperrt, da dieser angeblich XMPP S2S Pakete an eine private IPv4 Adresse gesendet hat. Dies konnte ich jedoch nicht nachvollziehen.

Sämtliche Logs waren unauffällig. Matthew Wild (Prosody) hat sich meine Logfiles auch mal angesehen und konnte nichts finden. Keine ungewollten Prozesse, nichts im tcpdump zu finden. Munin zeigt auch keinen ungewöhnlichen Traffic. Der Server war komplett unauffällig.

Gegen 20:45 Uhr hat mein Hoster die IPv4 Adresse dann freundlicherweise wieder freigegeben. Seitdem habe ich permanent einen tcpdump laufen um das im Auge zu behalten.

Hier ist das Logfile welches mir mein Hoster hat zukommen lassen.

Sollte jemand von euch eine Idee haben, bin ich für jeden Tipp dankbar.

Für den gestrigen Ausfall bitte ich um Entschuldigung.

Nachtrag, 15.4.2014 12:20 Uhr: Gerade erhalte ich die Information von meinem Hoster, dass dieser Vorfall bereits am 27.3.2014 von 11:26:27 bis 20:22:04 Uhr stattgefunden hat.
Mein Hoster hat meinen Server am 14.4.2014 also wegen eines Ereignisses gesperrt, welches vor knapp drei Wochen geschehen ist. Da ich meine Logfiles nur zwei Tage aufbewahre kann ich hier nun auch nichts mehr prüfen…

Alle Benutzer von Twattle.net sollten ihr Kennwort ändern!

Wie Du wahrscheinlich schon gehört hast, wurde in dieser Woche eine schwerwiegende Sicherheitslücke in OpenSSL gefunden und behoben. Auch Twattle.net war davon betroffen und ich habe alle mir zur Verfügung stehenden Maßnahmen getroffen um das Problem serverseitig zu beheben. Ich habe eine aktualisierte OpenSSL Bibliothek installiert, das genutzte TLS Zertifikat für ungültig erklären lassen und ein neues Zertifikat installiert.

Da es grundsätzlich nicht vollständig auszuschließen ist, dass ein unbefugter über die Sicherheitslücke unverschlüsselte Daten oder gar den privaten Schlüssel des alten Zertifikats abgegriffen hat, ist es durchaus auch möglich, dass Dein Kennwort für Dein XMPP Konto abgegriffen wurde.

Aus diesem Grunde solltest Du unbedingt Dein XMPP Kennwort ändern!

Der von Dir verwendete XMPP Client sollte Dir eine Möglichkeit bieten Dein Kennwort zu ändern.

In Gajim zum Beispiel geht das wie folgt:

  • Menü: Ändern / Konten
  • Links Dein Konto auswählen, Reiter Konto aktivieren
  • Unten auf „Administrative Aktionen“ und danach auf „Passwort ändern“ klicken

Gajim Kennwort ändern

Wie das mit anderen Clients funktioniert findest Du in der jeweiligen Dokumentation oder Du kannst mich auch fragen. Ich helfe Dir gern.

Weitere Informationen und Gründe findest Du hier:

Neues Zertifikat

Der Server hat heute ein neues Zertifikat erhalten. Dieses ist gültig bis Samstag, 11. April 2015 16:06:17 Uhr (GMT).

Im folgenden die SHA1 Fingeradrücke, damit Du das Zertifikat überprüfen kannst.

Alt: D0:E4:61:4B:05:B2:3A:BB:50:17:06:F4:42:C1:8A:46:25:30:E6:C8
Neu: 6B:19:E9:2E:05:ED:A7:DF:F5:44:25:AC:ED:33:1F:F2:BC:40:C4:3E

Das Zertifikat ist gültig für die Website, für den XMPP Server und für den Mumble-Server.

Zertifikat zurückgezogen

Ich habe soeben bei StartSSL beantragt, dass das Zertifikat von Twattle.net für ungültig erklärt wird. Sobald das Zertifikat zurückgezogen wurde werde ich ein neues beantragen.

Zwischen diesen beiden Zeitpunkten kann es zu Problemen bei der Nutzung von Twattle.net kommen, da kein gültiges Zertifikat mehr benutzt wird.

Ich bitte die Unannehmlichkeiten zu entschuldigen, aber dieser Schritt ist notwendig um die Sicherheit Deiner Kommunikation weiterhin sicherzustellen.

Weitere Informationen und Gründe findest Du hier: