Kurze Ergänzung zum Zabbix 1.8-Release: Die Domain ist nun mit einem validen SSL-Zertifikat gesichert – man gönnt sich ja sonst nichts

Ab sofort ist unsere Webseite im neuen Gewand online: Der Relaunch ist abgeschlossen!
Geändert hat sich vieles, insbesondere das doch schon angestaubte Design wurde komplett runderneuert.
Die Tarife sind unverändert, lediglich die Wunschtarife wurden etwas angepasst.
Das bisherige Bestellsystem wurde gegen ein eigenes ausgetauscht, das die Tarif-Details nun direkt aus unserer Datenbank holt.
Die wichtigste Neuerung dürfte aber die [...]

Heute gab es ein Problem, das sich zuerst nach SSL-Fehlern anhörte, dann aber ganz andere Ursachen hatte:
Ein Kunde hatte Probleme, Confixx auf einem von uns betreuten Server aufzurufen – es erschien immer eine Fehlermeldung im Firefox:
Fehlercode: ssl_error_rx_record_too_long
Andere Webseiten waren problemlos zu erreichen, auf dem Server waren keinerlei Einträge in der zugehörigen Log-Datei.
Erst das globale Error-Log [...]

Nachdem auf dem 25. Chaos Communication Congress (25C3) demonstriert wurde, wie ein mit MD5 signiertes SSL-Zertifikat erfolgreich ausgenutzt werden konnte, um ein eigenes gültiges Zertifikat zu erhalten, haben wir die bei uns eingerichteten Zertifikate ebenfalls überprüft.
Dabei stellten wir fest, dass die im Shared-SSL-Bereich sowie zur Absicherung von Applikationen wie Confixx, RoundCube o.ä. verwendeten SSL-Zertifikate eben [...]

Nach einer Änderung im Einkauf unserer Domains haben wir nun – im Zuge der Vereinheitlichung – eine neue URL für den Domainrobot beauftragt.
Ab sofort ist der Domainrobot für Reseller unter folgender neuer URL zu erreichen:
https://robot.as-dns.de/
Die bisherige URL leitet an die neue URL (direkt auf die SSL-verschlüsselte URL) weiter.

Nach den Updates für OpenSSL und OpenSSH (wie berichtet) kam am Donnerstag abend die nächste Arbeit: Kernel-Update nach einer lokalen DoS-Lücke in Kernel 2.6.22 bis 2.6.25.2 … Somit war der gestrige Samstag abend auch wieder gelaufen – neue Kernel installieren, und alle Server auf den neuesten Stand bringen …
Jetzt fehlen nur noch die SharedSSL-Zertifikate auf [...]

Nachdem gestern Sicherheitslücken in OpenSSL und OpenSSH veröffentlicht wurden, wird heute erst so richtig die Tragweite dieser Fehler bekannt: Durch einen Fehler in ssleasy_rand_add(), den Debian-Entwickler, auch in Absprache mit OpenSSL-Entwicklern, behoben, wurden Zufallszahlen auf die Prozess-ID beschränkt. Diese wird in Linux mit 16-Bit angegeben, deckt also den Zahlbereich von 1-65.535 ab: Dies ist in [...]

Nach einer Sicherheitslücke in OpenSSL (predictable random number generator) wurde nun auch ein Debian-Update für OpenSSH veröffentlicht.
Allen Administratoren ist geraten, die Anweisungen der Debian-Mailingliste bzw. des Security-Bulletins zu beachten!

Was andere Firmen als “große Neuerung” in einer Pressemitteilung ankündigen, ist bei uns schon seit mehreren Jahren Standard:
Alle wichtigen Applikationen, bei denen sensible Daten übertragen werden, sind ausschließlich via SSL erreichbar. Durch die Transportverschlüsselung werden alle Anfragen (und die dabei übertragenen Daten) im Webbrowser verschlüsselt, und erst auf unseren Systemen wieder entschlüsselt – Dritten ist [...]

Durch die Vielzahl an Diensten und Serviceleistungen, die wir inzwischen anbieten, kam es zu Vermischungen der URLs, was nicht zur Transparenz beitrug.
Wir werden daher in der nächsten Zeit die Dienste strukturieren und explizit trennen.
Folgende Domains werden daher Inhalte anbieten:

aditsystems.de: Alle Dienstleistungen für Webhosting-Kunden (Confixx, PHPMyAdmin, WebFTP, RoundCube, …)
a1a-server.de: Alle internen Dienste sowie Servernamen
as-dns.de: Alle Dienstleistungen [...]

Aus aktuellem Anlass möchten wir darauf hinweisen, dass im Mailprogramm der korrekte POP3- bzw. SMTP-Server angegeben sein muss.
Wir empfehlen Ihnen, wie bereits im Wiki beschrieben, folgende Einstellungen, abhängig von Ihrem Benutzernamen:

webxpy: venus.a1a.biz
marsxpy: mars.a1a.biz

Auf die angegebenen Servernamen sind auch die SSL-Zertifikate ausgestellt, bei verschlüsselten Übertragungen ist zwingend der im Zertifikat hinterlegte Servername zu benutzen!
Details wie gewohnt [...]

Wie bereits vor einem halben Jahr haben wir erneut die Zertifikate im eMail-System erneuert.
Diese wurden wieder von CACert.org signiert und haben somit eine maximale Gültigkeit von 6 Monaten.
Die Zertifikate sind auf allen IMAP/POP3 sowie SMTP-Servern im Einsatz, der Servername im Zertifikat entspricht dem Hostnamen des Systems.

Mit größerer Verzögerung als geplant wurden die Wartungsarbeiten auf Mars soeben abgeschlossen.
Das Rechenzentrum war mit den Umbauarbeiten der Festplatten länger beschäftigt, als geplant, auch kam es danach zu Problemen mit SSL/HTTPS.
Der Server sollte nun wieder so konfiguriert sein, wie vor dem Plattenwechsel. Sollten Sie Fehler auf der Webseite feststellen oder anderweitig etwas nicht in Ordnung [...]

Ab sofort können Sie auf allen Servern die FTP-Verbindung verschlüsseln lassen und somit keine Passwörter o.ä. mehr unverschlüsselt übertragen.
Wie Sie FTPs speziell bei Ihrem FTP-Client aktivieren, erfahren Sie im jeweiligen Handbuch/Hilfe. Für den von uns empfohlenen SmartFTP finden Sie links der Adresszeile den Button “Protocol”. Dort wählen Sie den Eintrag “FTP over SSL (Explicit)” an. [...]

Wir haben soeben die Zertifikate für das eMail-System erneuert.
Um auch gegenüber Resellern neutral zu erscheinen, haben sich deshalb die sog. CommonNames (CN) der Zertifikate geändert:
Wenn Sie auf Venus Ihre Postfächer haben und den eMail-Transfer verschlüsselt abwickeln wollen, verwenden Sie folgende Einstellungen:

Post-Eingangsserver: venus.a1a.biz
Post-Ausgangsserver: venus.a1a.biz
Ports:

IMAP: 143
IMAP-SSL: 993
POP3: 110
POP3-SSL: 995

Auf Mars verwenden Sie entsprechend den Servernamen “mars.a1a.biz”.
Unsere Zertifikate [...]