Dezentralisierung: Meine Vision von Freiheit in unserer vernetzten Gesellschaft

Das Keyfile ist das hier:

SSLCertificateKeyFile "/etc/pki/tls/mycerts/PRIVATE/server.key"

Diese Datei sollte nur vom Webserver und vom Benutzer root lesbar sein. Sollte je ein anderer Benutzer am System seine Finger an diese Datei bekommen, wäre es dem Dieb möglich, deine Identität bzw. diese deines Servers zu "spoofen". Stichwort chown/chmod.

Und du sagst, du hättest das Zertifikat nach einer Anleitung im Netz erstellt. "rnd" Dateien könnten dann im Ordner liegen in dem du das damals gemacht hast. Das ist keine weiß Gott wie irre Sicherheitslücke, aber besser man räumt die weg (falls es OpenSSL nicht selbst erledigt hat).

Edit: Dein Zertifikat solltest nochmal bauen, denn dein Hostname ist primos2000.selfhost.eu, dein im Zertifikat hinterlegter Common Name aber ist primos.lug-spaar.spc!

Die beiden sollten unbedingt identisch sein, also Common Name des Zerts sollte gleich DNS Hostname sein! Sonst werden die meisten modernen Browser IMMER eine Warnung ausgeben, selbst wenn der Benutzer das Zert als vertrauenswürdig einstuft!

Die Hosts Datei hat damit nichts zu tun. Beim Aufruf von openssl (also wirklich beim Erstellen der SSL Zertifikatsdatei) wirst du von OpenSSL interaktiv nach einem "Common Name" und auch ein paar anderen, weniger wichtigen Angaben gefragt. Und da hast du offenbar primos.lug-spaar.spc angegeben. Dabei mußt du aber primos2000.selfhost.eu angeben.

Ist dieser Fehler einmal passiert, kommst du um eine Neuerstellung des SSL Zertifikats nicht mehr herum.

Edit: Und wennst schon dabei bist, dann kannst auch eine längere Gültigkeitsdauer für das Zertifikat angeben, z.B. 10 Jahre statt nur einem Jahr, dazu einfach die Option -days 365 auf einen Wert deiner Wahl, z.B. -days 3650 für 10 Jahre ändern. Sonst mußt nämlich jedes Jahr ein neues erstellen, weil ja alle SSL Zertifikate eben ein Ablaufdatum haben.

Oder vielleicht CentOS 6, das ist vom Alter der Pakete her ca. auf Squeeze Level, wird aber aktiv supported bis 2023, da der volle RedHat EL Lifecycle 13 Jahre umfaßt. Vielleicht rennt das ja. Selbst das noch ältere CentOS 5 wird aktiv bis 2020 unterstützt und gepatcht, auch wenn sich die Versionsnummern nicht mehr weiterbewegen. Das könnte eine Alternative darstellen. Nur andere moderne Software (Content Management Systeme, Blogsoftware etc.) hat dann vielleicht Probleme auf sehr alten Systemen, auch wenns noch Sicherheitspatches bekommen.

Und: RC4 ist gar nicht so schlimm wie alle tun. Was älteres OpenSSL angeht, bei AES-CBC Ciphern gabs Probleme (BEAST Attacke usw.), und was du nicht bekommst sind die hochsicheren AES-GCM Cipher, die gibts erst ab Version 1.0.x+ bei OpenSSL. Heartbleed-verwundbar bist aber nicht.

Der Ratschlag ein moderneres OS einzusetzen ist aber schon nicht ganz verkehrt.. falls es halt möglich ist.

Auch alles eine Frage deines Bedrohungsmodells.

Wenn du dich entscheidest mit Lenny weiterzufahren, würde ich meinen du brauchst ein Backports Repository.

Edit: Eventuell braucht deine /etc/apt/sources.list oder wo das File halt war nur sowas (inkl. Contributions und unfreie Pakete, falls nötig):

deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
deb http://backports.debian.org/debian-backports lenny-backports-sloppy main contrib non-free

Habe heute im Radio ein Interview mit Markus Sabadello, Verbreiter der "FreedomBox" in Österreich gehört, daher wollte ich das hier auch erwähnt haben. Im Interview hat der Mann so ziemlich alles angeschnitten, was ich im Aufmacherpost hier gesagt hatte, nur in kompakterer Form. FreedomBox an sich ist aber nicht nur ein Minirechner, sondern vor allem ein komplettes Softwarepaket, daß sich auch auf so ziemlich jeder Hardware würde hochziehen lassen, mit dabei sind ownCloud, diaspora*, ein XMPP Chatserver, eine tor Anbindung zur Anonymisierung und noch vieeles mehr.

Ganz groß wurde im Interview das Zentralisierungsproblem und die Dezentralisierung als Lösung angesprochen. Sabadello hat hier natürlich auch sofort von Sicherheit und Privatsphäre gesprochen, und davon daß diese Dinge eben vor allem durch Datenzentralisierung gefährdet seien.

Das FreedomBox Betriebssystem basiert auf Debian Linux, und besitzt eine eigene grafische Benutzeroberfläche zur einfachen Konfiguration. Der Imagecreator "Freedom-Maker" kann nun Images nicht nur für die initiale Zielplattform (den GlobalScale DreamPlug) bauen, sondern auch für den weit verbreiteten Raspberry Pi oder für die VirtualBox VM.

Es geht wirklich vorwärts!

[FreedomBox Foundation]
[FreedomBox Österreich]

Habe jetzt keine eigene FreedomBox Seite für Deutschland gefunden, aber Newsberichte gibt es einige, wenn man danach sucht!

Hier in Bild der "Plinth" WebGUI der FreedomBox:

So bekommt man hier einen nicht all zu schwer konfigurierbaren Homeserver, Crypto-/Anon-Gateway ins Netz, der dabei auch noch dazu kaum Strom frißt!

Das löst ein Problem, das mich zuletzt bei der ganzen Geschichte immer wieder gewurmt hat: Nämlich die Abwesenheit einer einfachen, ökonomischen und relativ kompletten Basisinstallation für Homeserving und -routing auf quelloffener Basis. Und jetzt haben wir sie!