SSL-Zertifikatfehler in Java ignorieren

Immer wieder darf man mit Servern zusammenarbeiten, die zwar eine SSL/TLS-Verbindung anbieten, dabei aber auf müllige Zertifikate setzen:

  • Unbekannte/selbstgebaute CA
  • Komische CA-Chains bei der die Zwischenzertifikate fehlen
  • Servername passt nicht zum OU/DN

Dass man mit solchen Zertifikaten den ganzen Sicherheitsaskept ad-absurdum führt interessiert die Serverbetreiber meist nicht.

Trotz allem will/muss man mit solchen Diensten aber kommunizieren.
MIttels folgendem Code ignoriert man sowohl ungültige CA-Ketten als auch unpassende Zertifikate zum Server selber:
Weiterlesen

Java6-Update folgt nun der JNLP-Spec 1.0.1

JNLP nicht signiert

JNLP nicht signiert

Bevor andere sich durch die JNLP-Specs wühlen mache ich es hier mal kurz und schmerzlos:

Nach dem Update auf Java 6.0u12 meldet der Webstart, dass meine beamer-tool-Anwendungen nicht mehr komplett signiert sind.
Bei genauerer Untersuchung der Fehlermeldung beschwert sich Webstart, darüber, dass die JNLP-Datei nicht signiert ist.

Mal eine neue Meldung… Weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. Weiterlesen

Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS)

FTP ist bei weitem nicht sicher. Jegliche Daten (Daten wie Benutzername und Passwort) werden unverschlüsselt übertragen.
Da meist der FTP-Benutzer auch ein eMailbenutzer ist, ist es sicherlich für alle zuträglicher, wenn man FTP mittels TLS verschlüsselt. SFTP schließt sich selber aus, da chrooten nur mittels zusätzlicher Programme geht.

Um ProFTPd auf CentOS 5.1 mit ISPconfg für alle (auch virtuellen Hosts) zu aktivieren sind folgende Schritte nötig: Weiterlesen

SSL routines:SSL3_GET_RECORD:wrong version number

Nach einem Update war eine vernünftige Verwendung meines Courier-IMAP mit SSL nicht mehr möglich.

KMail und Outlook beenden sich mit einem nichtssagenden Fehler (komischerweise kommt das K800i aber ohne Probleme klar).
Eine mehr oder weniger gute Fehlermeldung lässt sich im syslog finden:

imapd-ssl: couriertls: connect: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Weiterlesen