Froxlor und Let’s Encrypt

Einige werden es sicher schon mitbekommen haben:

Seit einiger Zeit bietet die Internet Security Research Group mit dem Dienst Let’s Encrypt kostenlose, einfach beschaffbare und weitgehend akzeptierte SSL-Zertifikate an.

Das Ziel, die Verschlüsselung im Internet voranzutreiben, ist mit über einer Millionen ausgestellten Zertifikaten (Quelle: http://www.heise.de/security/meldung/Let-s-Encrypt-1-Million-Zertifikate-ausgestellt-3131243.html) sicher auch schon auf einem guten Weg.

Für Nutzer des Froxlor-Systems war es bis zum Release der Version 0.9.35 noch ein wenig aufwendiger, Webseiten HTTPS-tauglich zu machen.

Nach dem Update ist es jedoch verhältnismäßig einfach, auch wenn es kleine Fallstricke gibt:

Zunächst muss sichergestellt sein, dass cURL installiert ist:

sudo apt-get install php5-curl
sudo service apache2 restart

Desweiteren muss eine neue Konfigurationsdatei erstellt werden.

Dazu ruft man in Froxlor den Menüpunkt „Konfiguration“ auf, und erhält nach Auswahl der entsprechenden Komponenten eine vorgefertigte Konfigurationsdatei:

Konfiguration

Diese setzt man einfach ein, und nach einem Apache-Restart kann es weitergehen.

In der aktuellen Version braucht man noch ein eigenes Zertifikat für die IP-Adresse. Ich habe mir einfach eines selbst erstellt:

openssl genrsa -out /etc/ssl/private/apache.key 2048

openssl req -new -x509 -key /etc/ssl/private/apache.key -days 365 -sha256 -out /etc/ssl/certs/apache.crt

Dies wird dann unter „IPs und Ports“ bei den SSL-Einstellungen der IP, die auf Port 443 lauscht eingefügt:

SSLKonf

Da dieses Zertifikat natürlich von keiner CA signiert ist, gibt es bei einem Aufruf (noch) nur Fehlermeldungen:

Error

Weiterhin muss man, falls noch nicht geschehen, unter System>Einstellungen>SSL-Einstellungen die Nutzung von SSL und Let’s Encrypt aktivieren.

Nun kann man aber in den Einstellungen der Domain’s das Häkchen „Benutze Let’s Encrypt: “ aktivieren, und der Server (sollte) sich beim nächsten Cronjob ein Zertifikat abholen. Wildcard-Aliase dürfen aber nicht mehr benutzt werden.

Natürlich muss die Domain auch die SSL-IP-Adresse „benutzen“.

DomainEinstellungenZu beachten ist weiterhin, dass ich bei den von Froxlor standardmäßig verwendeten Verschlüsselungsalgorithmen von Chrome gewarnt wurde, unsichere Algorithmen zu verwenden.

Mit anderen SSL-Ciphers (unter System>Einstellungen>SSL-Einstellungen) tritt das Problem nicht mehr auf:

ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256

 

Weitere nützliche Links:

Release Notes im Froxlor-Forum

Let’s Encrypt