Gesicherte UpdateServer

  • App
    WoltLab Suite Core

    Hallo,

    ich fände es schön, wenn man isValidServerURL (UpdateServer.class.php) um gesicherte UpdateServer erweitern würde. Grund dafür ist, dass ich in meinem Fall einen speziellen UpdateServer nur über eine gesicherte SSL-Verbindung laufen lassen möchte. Aktuell werden leider nur ungesicherte UpdateServer zugelassen.

  • Wenn so auch der Updateprozess möglich ist (ich sehe da Probleme bei selbst erstellen Zertifikaten der Updateserver ?) schließe ich mich dem Vorschlag (aus Sicherheitsgründen) an

  • Wenn dann sollte das nur mit Zertifikaten funktionieren, die von CAs signiert sind, denen vom System vertraut wird. Selbst unterzeichnete Zertifikate bieten zwar generell eine Verschlüsselung, aber keine Sicherheit und das Zulassen von ihnen untergräbt die Sicherheit von Zertifikaten, die von vertrauenswürdigen CAs unterzeichnet sind.

    MfG Markus Zhang (aka RouL)

  • Das ist nicht richtig. Es ist generell nicht empfehlenswert CA-Pools zu nutzen wenn dies nicht zwingend erforderlich ist. SSL hat einen riesigen Nachteil - und das sind eben diese CA-Pools, denn diese sind ein regelrechtes Einfallstor für Missbrauch und stellen eigentlich das komplette Konzept in Frage. Leider ist Anderes in vielen Anwendungsfällen, wie eben dem Webbrowser, nicht praktikabel bzw. überhaupt gar nicht realisierbar. Sind die abzusichernden Verbindungen aber bereits im vornherein bekannt, und das ist hier der Fall, ist es sinnvoll eine Verbindung immer nur gegen ein einzelnes Zertifikat zu prüfen. Dann spielt es auch keine Rolle ob es selbstsigniert ist oder nicht da es nur einen CA gibt der die Verbindung validieren kann. Konkret: Wird ein sicherer Server hinzugefügt muss auch immer das passende CA-Zertifikat mit hochgeladen werden. PHP und SSL - sowohl als Client als auch als Server - ist kinderleicht, das schwierigste ist es die Zertifikate erstellen - und das kann man mit ein paar Mausklicks erledigen...

  • Probleme gibt es an dieser Stelle sicher mit ca. 90% der Forenadministratoren, da diese entweder (angenommen sie würden es zum akzeptieren angeboten bekommen) entweder ohne weitere Kontrolle akzeptieren oder garnicht akzeptieren, da sie denken, dass damit was nicht stimmt.
    Zum manuellen Installieren des Zertifikats im System (und ich meine hier nicht den Browser, denn es geht ja um Updateserver), was zudem die einzige Methode ist, bei der annähernd gewährleistet werden kann, dass das Zertifikat auch das authentisch ist, sind die besagten von mir angenommenen 90% nicht in der Lage und zudem muss das Zertifikat (oder eine CA mit der es zertifiziert wurde) wenn ich mich nicht irre, damit PHP es "kennt", global im System akzeptiert sein und das kannst du auf Webspace schonmal direkt vergessen und ich kann mir nicht vorstellen, dass WoltLab die HTTPS Übertragung "zu Fuss" mit OpenSSL implementiert.

    MfG Markus Zhang (aka RouL)

  • Probleme gibt es an dieser Stelle sicher mit ca. 90% der Forenadministratoren, da diese entweder (angenommen sie würden es zum akzeptieren angeboten bekommen) entweder ohne weitere Kontrolle akzeptieren oder garnicht akzeptieren, da sie denken, dass damit was nicht stimmt.
    Zum manuellen Installieren des Zertifikats im System (und ich meine hier nicht den Browser, denn es geht ja um Updateserver), was zudem die einzige Methode ist, bei der annähernd gewährleistet werden kann, dass das Zertifikat auch das authentisch ist, sind die besagten von mir angenommenen 90% nicht in der Lage und zudem muss das Zertifikat (oder eine CA mit der es zertifiziert wurde) wenn ich mich nicht irre, damit PHP es "kennt", global im System akzeptiert sein und das kannst du auf Webspace schonmal direkt vergessen und ich kann mir nicht vorstellen, dass WoltLab die HTTPS Übertragung "zu Fuss" mit OpenSSL implementiert.

    Grundsätzlich denke ich wenn es wirklich so eine "DAU" Gefahr gibt das es in erweiterten Optionen mit umfangreichen Hinweisen zu finden sein sollte. Denn als schätzungsweise etwas erfahrener Admin würde ich das doch gerne nutzen

  • Wie gesagt: Wenn ich mich nicht irre musst du solche Zertifikate eh direkt auf dem Server als vertrauenswürdiges Zertifikat anlegen. Mir ist aktuell keine Möglichkeit bekannt mit PHP SSL Zertifikate zu akzeptieren, die ungültig/nicht vertrauenswürdig sind zu "akzeptieren", sofern PHP das überprüft, wovon ich ausgehe. Außer WoltLab möchte die gesamte HTTPS Kommunikation "zu Fuß" per OpenSSL selbst realisieren, da kann ich mir vorstellen, dass man da Möglichkeiten hat. Allerdings kann ich mir nicht vorstellen, dass WoltLab den Weg beschreiten wird, da das ein nicht unerheblicher Overhead sein dürfte.

    Deine "Expertenoption" hast du also bereits: PuTTY.

    MfG Markus Zhang (aka RouL)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!