SMTP: Schlechtere Verschlüsselung kann besser sein

In einer perfekten Welt würden nach Bekanntwerden einer Sicherheitslücke alle Server innerhalb weniger Stunden gepatched werden. Neue Verschlüsselungsalgorithmen wären nach wenigen Wochen überall verfügbar und Änderungen an unterstützender Infrastruktur wie z.B. die Implementierung von DANE wären in ein paar Monaten durch. Und dann wacht man auf und stellt fest, dass die Welt leider alles andere als perfekt ist. Und so muss ich nun leider, schweren Herzens und verschämt, eine Aussage invalidieren, die ich in diesem Blog-Eintrag getroffen habe. [Mehr]

Blog via SSL

Ich habe mir jetzt doch mal einen Account bei StartSSL zusammen geklickt und mir da zwei Zertifikate für die Domains geholt, unter denen das Blog verfügbar ist. Nachdem ich nur eine IPv4-Adresse habe, hinter der ich das hosten kann (also ich hätte schon noch eine über, aber wer weiß, wofür ich die noch brauchen werde), funktioniert das ganze zwar völlig normal wenn man die Seite als www.incertum.net (oder als incertum.net, die StartSSL-Zertifikate haben immer einen Subject Alternative Name drin) aufruft - aber falls man sie als (www. [Mehr]

Mehr Crypto: DANE TLSA, SSHFP

Was könnte man eigentlich noch machen, wenn man dem eigenen DNS etwas mehr Sicherheit verpasst hat? Na ja, eine Idee wäre z.B., im DNS bestimmte Aussagen über den sonstigen Einsatz von Kryptographe zu treffen. Dabei gibt es zwei Dinge, die mir sinnvoll erscheinen: Zum einen SSHFP-Records, mit denen man den Host-Key eines SSH-Servers im DNS verewigen kann, und zum anderen DANE TLSA, mit dem man selbiges etwas universeller tun kann. [Mehr]

Jedem seine eigene Verschwörungstheorie

Ohne Kommentar (es ging um das hier, und wir alle dachten, wir hätten Kaminski ausgestanden) - Kudos to Vernon: Now we (including me) have known the dangers and limitations, so should we set max-udp-size to 1220 on every authoritative servers? Sometimes crazy conspiracy theories make too much sense. Please make up one of your own from some facts: Some known major PKI failures were ostensibly in support of nation states. [Mehr]

Forward Secrecy mit Debian/wheezy: postfix, dovecot, nginx

In letzter Zeit hat man ja in den Medien ziemlich viel von der NSA-Schnüffelei gelesen und die “knee-jerk reaction” der meisten Geeks war dann wohl zu sagen: “Wir brauchen mehr und stärkere Kryptographie.” Ich will jetzt nicht sagen, dass das verkehrt ist, denn im Prinzip ist es nie schlecht, noch mehr und noch stärkere Verschlüsselung einzusetzen. Meine Kritik an dieser Reaktion bezieht sich darauf, dass sie IMHO nicht weit genug geht: Zum einen ist für Überwacher sehr oft das interessant, was beschönigend als “Metadaten” (my ass! [Mehr]