[Eisfair] Apache2, unbekannter(?) VHOST angegriffen, BFB griff ein.

Detlef Paschke schabau at t-online.de
Mo Okt 3 11:17:37 CEST 2022 

Am 03.10.2022 um 08:52 schrieb Marcus Röckrath:
> Hallo Detlef,

Hallo Marcus,

> Detlef Paschke wrote:
> 
>>>> https://crt.sh/
>>
>>> Interessant, kannte ich auch noch nicht.
>>>
>>> @Detlef:
>>>
>>> Ist der VHOST in der Auflistung dabei?
>>
>> Ja natürlich wird da ganz stolz gezeigt, wo mein Roundcube hängt. ;-)
> 
> Da sieht man wieder, das man im Internet kaum etwas wirklich unsichtbar
> machen kann. Helfen tun nur gute Absicherung.

nun gut, verschlossen ist der gesamte Roundcube bei mir sowieso. Von
Apache aus ist der gesamte VHOST mit einem "starken" Passwort gesichert
und für Roundcube selbst benötigt man dann auch noch die
Email-Zugangsdaten. Viel mehr kann man wohl nicht machen.

> Hattest du gestern da auch ml ein eigenes Zertifikat drauf laufen?
> 
> Meine mich zu erinnern, dass mein Firefox da ein nicht verifizierbares
> Zertifikat angemeckert hat, als ich mal auf deine Adressen gesurft bin.

Als ich die ganze Umstellung auf TLS gemacht habe, hatte ich für die
Tests nur mein lokales Zertifikat verwendet. Erst danach habe ich
certs_dehydrated installiert und die nötigen Let's Encrypt Zertifikate
erstellen lassen. Das war aber nicht gestern, das ist schon sehr viel
länger her.
Rufst Du meinen Server jedoch über die IP auf, landest du im Apache
DOCUMENT_ROOT, in dem nichts für ausstechende zu finden ist, und aus dem
es, (so hoffe ich) nur einen gelenkten "Ausweg" geben sollte. Dort
greift noch mein lokales Zertifikat, da ich darin liegende Seiten nur
aus dem lokalen Netz aufrufe.

Bei meinem Mailserver sollte das Let's Encrypt Zertifikat auch greifen.
Wir hatten vor einiger Zeit eine etwas intensivere Unterhaltung darüber,
dass ich eine offizielle Mail-Adressen auf eisfair einrichten und
betreiben wollte, ohne dass der eisfair automatisch als SPAM aussortiert
oder gar nicht erst angenommen wird. Das hatte keine Gründe, ich wollte
nur mal versuchen, ob es geht. Und es geht. :-)
Dank der Arbeit von Juergen und dem verfügbar machen von Server Name
Indication (SNI) im mail-Paket, kann mail nun auch mit mehreren
Zertifikaten arbeiten und greift je nach Aufruf (intern
eisfair64.home.lan oder extern mail.schabau.eu), auf das richtige
Zertifikat zurück. Vorher ging nur ein Zertifikat und man hatte entweder
Probleme beim Aufruf von intern oder von extern, je nach dem, welches
Zertifikat man in mail angegeben hat.

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair