SSL

Der Einrichtung von SSL sind umfangreiche Recherchen und mehrere Meinungswechsel vorausgegangen. Das kann im dazugehörigen Ticket #60 nachvollzogen werden. Dieser Artikel beschreibt den aktuellen Stand.

Blog

Weder der Blog unter blog.do-foss.de noch die dazugehörige Matomo-Instanz unter piwik.do-foss.de sind per SSL erreichbar.

Redmine

Die Verbindung zu Redmine wird korrekt gesichert. Zu dem Zweck haben wir bei SSL-Trust ein Zertifikat Comodo PositiveSSL für die Domain orga.do-foss.de erstellen lassen. Das Zertifikat wurde am 05.02.2015 erstellt und gilt für ein Jahr.

Validation

Das Positive-SSL-Zertifikat enthält keine Informationen zur Person oder Organisation. Dementsprechend stellt die Validation nur sicher, dass der Antragstellende die Domain, für die das Zertifikat ausgestellt werden soll, auch tatsächlich besitzt. Wegen der Domainweiterleitung von orga.do-foss.de zu unserer Redmine-Instanz ist das nicht ganz unproblematisch.

Comodo bietet drei Verfahren zur Domain-Validation an:

E-Mail

Comodo verschickt eine E-Mail an eine Administratoradresse unter der Domain. Darin ist ein Link zur Validation enthalten.

Für orga.do-foss.de ginge diese Mail also etwa an . Allerdings folgt auch die E-Mail-Zustellung unserer Weiterleitung, weswegen die Mails bei unserem Redmine-Provider angenommen werden müssten, was aber nicht der Fall ist. Dieses Verfahren entfällt.

HTTP

Es muss eine Textdatei mit einem konkreten Inhalt unter einer konkreten Adresse der Domain erreichbar gemacht werden. Comodo prüft dies regelmäßig und automatisiert.

Auch hier kommt wegen der Weiterleitung der Redmine-Provider ins Spiel. Ohne dessen potentiell umständliche Mitarbeit können wir keine Dateien unter orga.do-foss.de erreichbar machen. Auch diese Variante entfällt.

CNAME

Es muss ein konkreter CNAME-Eintrag gemacht werden. Comodo prüft dies regelmäßig und automatisiert.

Da wir Zugang zu DNS-Einträgen für alle unsere Domains haben, können wir dieses Verfahren anwenden. Es funktioniert auch mit Subdomains, es konnte also ein Eintrag für <CSR-MD5-hash>.orga.do-foss.de erstellt werden.

Dieses Verfahren wird im Online-Shop von SSL-Trust nicht angeboten! Erst ein sehr ergiebiger Austausch mit der Hotline hat diese Möglichkeit eröffnet. Nach Antragstellung muss SSL-Trust das von uns provisorisch gewählte Verfahren durch dieses ersetzen.

Also available in: PDF HTML TXT

Add picture from clipboard (Maximum size: 300 MB)