haiflosse
Anmeldungsdatum: 27. September 2014
Beiträge: 56
|
Hallo!
Ich habe hier einen nginx Webserver wo ich im web nun folgende Meldung bekomme:
Mögliches Sicherheitsrisiko erkannt. Ich vermute, da das SSL Zertifikat abgelaufen ist.
Da ich leider mich nur sehr wenig mit Linux und nginx auskenne, wollte ich fragen, wie ich dies am Server prüfen kann und wie ich das Sicherheitszertifikat aktualisieren kann.
Vielen Dank für jede Antwort
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11180
Wohnort: München
|
haiflosse schrieb: Ich vermute, da das SSL Zertifikat abgelaufen ist.
Das kannst du dir das Zertifikat auch erst mal im Browser anzeigen lassen, um den Verdacht zu erhärten.
Da ich leider mich nur sehr wenig mit Linux und nginx auskenne,
Dann wird es höchste Zeit das zu ändern. Die Zeit solltest du investieren, wenn du niemanden findest, der das für dich übernimmt - immerhin trägst du da ein Haftungsrisiko, wenn jemand anderes mit deinem Server Blödsinn anstellt. wollte ich fragen, wie ich dies am Server prüfen kann
Du schaust dir die in den Konfigurationsdateien für nginx hinterlegten Zertifikate an - also könntest du z.B. mal nach ssl_certificate in den Konfigurationsdateien suchen, darüber kannst du den Pfad für das Zertifikat ermitteln und dann kannst du dir die darin enthaltenen Informationen mit openssl lesbar anzeigen lassen: https://ma.ttias.be/how-to-read-ssl-certificate-info-from-the-cli/. und wie ich das Sicherheitszertifikat aktualisieren kann.
Das hängt davon ab, welche Anforderungen du an das Zertifikat hast - kann es sein, dass du mit SSL/TLS-Zertifikaten auch noch keine Erfahrung hast? Dann würde sich zum Einstieg z.B. der Wiki-Artikel zu TLS-Zertifikate anbieten.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5349
|
haiflosse schrieb: Ich habe hier einen nginx Webserver wo ich im web nun folgende Meldung bekomme:
Mögliches Sicherheitsrisiko erkannt.
Geht das etwas genauer? Wo steht was?
|
haiflosse
(Themenstarter)
Anmeldungsdatum: 27. September 2014
Beiträge: 56
|
Danke für die Antworten und Hilfe.
Sorry für die späte Antwort.
Ich versuche da mein Bestes um da weiterzulernen. Ich habe einmal die Datei nginx.conf mir angesehen und konnte da zu SSL folgenden Eintrag finden:
##
# SSL Settings
##
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # Dropping SSLv3, ref: POODLE
ssl_prefer_server_ciphers on; Soweit ich mir das Zertifikat über die Webseite ansehe handelt es sich um ein Let's Encrypt Zertifikat und es ist abgelaufen. Hoffe es kann mir jemand weiterhelfen wie ich es aktualisieren kann.
Bitte um Info, welche weitere Information notwendig sind. Vielen Dank
Bearbeitet von sebix: Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5349
|
Zur Erinnerung: sebix schrieb: haiflosse schrieb: Ich habe hier einen nginx Webserver wo ich im web nun folgende Meldung bekomme:
Mögliches Sicherheitsrisiko erkannt.
Geht das etwas genauer? Wo steht was?
haiflosse schrieb: Hoffe es kann mir jemand weiterhelfen wie ich es aktualisieren kann.
Na wo hast du es denn her? Die letsencrypt-Programme haben alle ueblicherweise eine Moeglichkeit die Zertifikate zu erneuern. Bei certbot mit certbot renew .
|
haiflosse
(Themenstarter)
Anmeldungsdatum: 27. September 2014
Beiträge: 56
|
Vielen Dank für die Antwort.
Leider habe ich den Webserver nicht installiert. Das Zertifikat funktioniert wieder. Es wurde ein Update von nginx mit sudo apt-get dist-upgrade durchgeführt.
Die Frage ist nur, ob dies so korrekt war und passt? Wenn ich certbot renew durchführe bekomme ich folgendes Ergebnis: Saving debug log to /var/log/letsencrypt/letsencrypt.log
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/moodle.domain.xx.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/schule.domain.xx.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/ev.domain.xx.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
-------------------------------------------------------------------------------
Processing /etc/letsencrypt/renewal/domain.xx.conf
-------------------------------------------------------------------------------
Cert not yet due for renewal
-------------------------------------------------------------------------------
The following certs are not due for renewal yet:
/etc/letsencrypt/live/moodle.domain.xx/fullchain.pem expires on 2019-08-05 (skipped)
/etc/letsencrypt/live/schule.domain.xx/fullchain.pem expires on 2019-08-07 (skipped)
/etc/letsencrypt/live/ev.domain.xx/fullchain.pem expires on 2019-07-28 (skipped)
/etc/letsencrypt/live/domain.xx/fullchain.pem expires on 2019-08-05 (skipped)
No renewals were attempted.
------------------------------------------------------------------------------- Danke für eine weitere Antwort und Hinweise.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5349
|
haiflosse schrieb: Vielen Dank für die Antwort.
Leider habe ich den Webserver nicht installiert. Das Zertifikat funktioniert wieder. Es wurde ein Update von nginx mit sudo apt-get dist-upgrade durchgeführt.
D.h. es sind keine automatischen Updates aktivert und es kuemmert sich niemand um die Wartung des Servers. Bitte dreh den Server ab. Server sind kein Spielzeug. Die Frage ist nur, ob dies so korrekt war und passt?
Woher sollen wir das wissen? Es ist immer noch nicht klar was die urspruengliche Meldung eigentlich aussagte.
|
haiflosse
(Themenstarter)
Anmeldungsdatum: 27. September 2014
Beiträge: 56
|
Danke für die Antwort.
Wie kann ich auf automatisches update den Server ändern? Die ursprüngliche Meldung war, dass das ssl Zertifikat let's encrypt abgelaufen war. Hoffe es kann mir jemand noch Vorschläge geben, wie man die Updates des Servers und SSL Zertifikat am Besten automatisieren kann.
Vielen Dank
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
haiflosse schrieb:
Hoffe es kann mir jemand noch Vorschläge geben, wie man die Updates des Servers und SSL Zertifikat am Besten automatisieren kann.
Niemand sollte hier noch weitere Vorschläge machen, bevor Du dich nicht eingehender mit der Materie befasst hast. Der einzige sinnvolle Vorschlag für dich ist der von sebix sebix schrieb:
Bitte dreh den Server ab. Server sind kein Spielzeug.
Und das solltest Du auch machen. Wie Fahrlässig kann man denn noch sein, Verstehe ich nicht 👿 EDIT: Der Titel passt übrigens, denn das Sicherheitsrisiko bist Du und nicht irgend ein Zertifikat was abgelaufen ist.
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5349
|
haiflosse schrieb: Danke für die Antwort.
Wie kann ich auf automatisches update den Server ändern?
Aktualisierungen/Konfiguration (Abschnitt „unattended-upgrades“)
Die ursprüngliche Meldung war, dass das ssl Zertifikat let's encrypt abgelaufen war.
Dann erscheint es seltsam, dass ein Upgrade des Webservers das Problem geloest hat. Hoffe es kann mir jemand noch Vorschläge geben, wie man die Updates des Servers und SSL Zertifikat am Besten automatisieren kann.
|
kizu
Anmeldungsdatum: 31. Juli 2009
Beiträge: 669
Wohnort: Buchholz
|
Hallo haiflosse, Es gibt leider genug Gründe dafür, dass es immer wieder Datenlecks gibt und auch sehr große Unternehmen immer wieder Probleme damit haben, ihre Server davor zu schützen, dass unbefugte Zugriff bekommen. Schau dir mal diesen Artikel hier an: Sicherheits-Einmaleins/Server Ein Server, der offen im Internet steht und niemand kümmert sich regelmäßig drum, ist wie ein leer stehendes Haus. irgendwann kommt jemand und steigt ein, weil die Tür von selbst auseinander fällt. Und nun stell dir vor, in diesem Haus lagern ganz viele Waffen und Munition, die der Hauseigentümer da vorher hinterlegt hat. Die kann der Einbrecher nach Herzenslust nutzen und anderen damit schaden. Und der Hauseigentümer ist verantwortlich für den Schaden, der verursacht wird, es sind ja seine Waffen, die er nicht ordnungsgemäß unter Verschluss gehalten hat. Überlege mal, ob du dieser Hauseigentümer sein möchtest, oder lieber einer, der sich darum kümmert, dass Schäden repariert werden und die Sicherheitsmaßnahmen den Bestimmungen entsprechen. Dafür musst du dein Haus (bzw. den Server) aber auch kennen und wissen, wo die Schwachstellen sind 😉 MfG, Daniel
|