RSS-Feed
News
Jul
10
EV-Zertifikate von DigiCert werden kurzfristig für ungültig erklärt
Gepostet von Andreas Wolske an 10 Juli 2020 16:23

Aufgrund der nicht korrekten Einhaltung von Richtlinien zur Ausstellung entzieht DigiCert TLS-Zertifikaten das Vertrauen.

Die Zertifikate müssen bis 11.07.2020 um 20:00 Uhr MESZ ersetzt werden. Die Information erreichte uns sehr kurzfristig, sodass dringender Handlungsbedarf bei allen Kunden besteht, die EV-Zertifikate einsetzen. Davon betroffen sind Zertifikate folgender Aussteller:

bzw. alle Zertifikate, die von folgenden Root-CAs unterschrieben wurden

  • DigiCert Global CA G2
  • GeoTrust TLS RSA CA G1
  • Secure Site CA
  • Thawte TLS RSA CA G1
  • Cybertrust Japan Secure Server ECC CA
  • DigiCert Global CA G3
  • GeoTrust TLS ECC CA G1
  • Thawte TLS ECC CA G1
  • NCC Group Secure Server CA G3
  • Aetna Inc. Secure CA2
  • DigiCert SHA2 High Assurance Server CA
  • NCC Group Secure Server CA G2
  • Plex Devices High Assurance CA2
  • TERENA SSL High Assurance CA 3

Weiterführende Informationen:


Lesen Sie weiter »



Jul
1

Apple, die Mozilla Foundation (FireFox) und Google haben beschlossen, dass ihre Browser für alle ab dem 01.09.2020 ausgestellten Zertifikate nur noch eine maximale Gültigkeitsdauer von einem Jahr (398 Tage, d. h. 1 Jahr + 1 Monat Karenz) akzeptieren. Damit wurde die erst von 5 Jahren auf 3 und dann auf 2 Jahre verkürzte Gültigkeitsdauer von Zertifikaten erneut beschnitten, was letztlich in einem erhöhtem Administrationsaufwand für nicht bspw. per Let's Encrypt automatisierbare Zertifikate mündet.

Begründet wird das immer wieder mit der nicht unumstrittenen Meinung der Browserhersteller, dass Mechanismen zur Gültigkeitsprüfung (wie z. Bsp. CRLs oder OCSP) ungeeignet oder sogar wirkungslos sind.

Da automatisierbare Alternativen wie Let's Encrypt aufgrund der geltenden Standards keine Class 3- oder EV- Zertifikate ausstellen dürfen, bleibt für alle Zertifikate mit Identitätsnachweis nur die jährliche Erneuerung inklsuive des damit verbundenen Aufwands.

Wir empfehlen deshalb, alle Zertifikate die bis Ende des ersten Halbjahres 2021 ablaufen, noch vor dem 01.09.2020 um die dann letzmalig möglichen 2 Jahre zu verlängern.



Lesen Sie weiter »



Jun
15
VMware Cloud Director 10
Gepostet von Andreas Wolske an 15 Juni 2020 14:46

VMware Cloud Director ist die führende Plattform für die Bereitstellung von Cloud-Services. Ab 01.07.2020 können Kunden von managedhosting.de die umfassend modernisierte, auf VMware Cloud Director 10.x basierende IaaS - Plattform zur automatisierten Bereitstellung ihrer Applikationen nutzen.

VMware Cloud Director 10 stellt eine Reihe an neuen Funktionalitäten bereit:

Container as a Service

Die Container Service Extension (CSE) ist eine Erweiterung der VMware Cloud Director-API und -UI für die Lebenszyklusverwaltung von Kubernetes- Clustern.

Wenn Sie Interesse am Einsatz der Container Service Extension zur vollautomatisierten Verwaltung Ihrer Kubernetes- Cluster haben, rufen Sie uns bitte an: https://www.managedhosting.de/kontakt/

Betriebstransparenz und -informationen

Ein überarbeitetes, zentrales Dashboard bietet mandantenfähige Cloud-Management-Anzeigen an einem Ort. Nutzen Sie die erweiterten Funktionen von vRealize Operations für Analysen, Kostenberechnung und native Integration in VMware Cloud Director, um detaillierte Informationen zu Unternehmensumgebungen zu erhalten.

Rechenzentrumserweiterung und Cloud-Migration

Profitieren Sie mit VMware Cloud Director Availability von einfachen, sicheren VM-Migrationen und Rechenzentrumserweiterungen. Das Produkt bietet echte Hybridität, unternehmensgesteuerte Workflows, nahtlose Konnektivität sowie Cold- and Warm-Migration-Optionen.

Automatisierung

API-basierte Automatisierungsmöglichkeiten bilden die Grundlage moderner Cloud Native Apps. Dank umfassender Integration in führende Automatisierungstools wie vRealize Orchestrator und Terraform können Sie mithilfe von VMware Cloud Director komplexe Workflows automatisieren, eine Vielzahl von Services bereitstellen und gleichzeitig Zugriffssteuerung sowie Transparenz aufrechterhalten.

PyvCloud

PyvCloud ist ein Open Source-Python-SDK für VMware Cloud Director.

Weitere Informationen finden Sie unter der Adresse https://vmware.github.io/pyvcloud/

vcd-cli

vcd-cli ist eine Befehlszeilenschnittstelle für VMware Cloud Director.

Weitere Informationen finden Sie unter der Adresse https://vmware.github.io/vcd-cli/

VMware Cloud Director Terraform API

Informationen hierzu finden Sie unter der Adresse https://www.terraform.io/docs/providers/vcd/index.html

Datenspeicher

Wählen Sie aus verschiedenen Speicherklassen, den für Ihren Einsatzzweck passenden Datenspeicher aus:

 

Informationen zum End of Service der vCloud Director 8.20 Plattform finden Sie unter https://go.managedhosting.de/vcd8eos


Lesen Sie weiter »



Jun
1
Ablauf des AddTrust Root Zertifikates von COMODO / Sectigo
Gepostet von Andreas Wolske an 01 Juni 2020 17:38

Am 30.05.2020 sind die für die Abwärtskompatibilität benutzten Intermediate- und Root- Zertifikat "COMODO RSA Certification Authority" und "USERTrust RSA Certification Authority" ausgelaufen. Das führt unter Umständen dazu, dass ältere Software und Systeme nicht mehr korrekt kommunizieren können.

Bei managedhosting.de kommen primär die aktuellen Zertifikatsketten von COMODO & Sectigo zum Einsatz:

COMODO RSA Domain Validation Secure Server CA
Fingerprint SHA256: 02ab57e4e67a0cb48dd2ff34830e8ac40f4476fb08ca6be3f5cd846f646840f0
Pin SHA256: klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=
RSA 2048 bits (e 65537) / SHA384withRSA

COMODO RSA Certification Authority
Fingerprint SHA256: 52f0e1c4e58ec629291b60317f074671b85d7ea80d5b07273463534b32b40234
Pin SHA256: grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=
RSA 4096 bits (e 65537) / SHA384withRS

Um Kompatibilität mit älterer Software, insbesondere JAVA- Komponenten sicherzustellen, wird alternativ ein weiterer verlängerter Zertifikatspfad konfiguriert:

COMODO RSA Domain Validation Secure Server CA
Fingerprint SHA256: 02ab57e4e67a0cb48dd2ff34830e8ac40f4476fb08ca6be3f5cd846f646840f0
Pin SHA256: klO23nT2ehFDXCfx3eHTDRESMz3asj1muO+4aIdjiuY=
RSA 2048 bits (e 65537) / SHA384withRSA

COMODO RSA Certification Authority
Fingerprint SHA256: 38392f17ce7b682c198d29c6e71d2740964a2074c8d2558e6cff64c27823f129
Pin SHA256: grX4Ta9HpZx6tSHkmCrvpApTQGo67CYDnvprLg5yRME=
RSA 4096 bits (e 65537) / SHA384withRSA

AAA Certificate Services
Fingerprint SHA256: d7a7a0fb5d7e2731d771e9484ebcdef71d5f0c3e0a2948782bc83ee0ea699ef4
Pin SHA256: vRU+17BDT2iGsXvOi76E7TQMcTLXAqj0+jGPdW7L1vM=

RSA 2048 bits (e 65537) / SHA1withRSA

Normalerweise benutzen aktuelle Browser und Endgeräte automatisch den kürzeren Zertifizierungspfad, sodass auch bei abgelaufener CA im zweiten Pfad keinerlei Einschränkungen auftreten.

Besonders bei JAVA- Komponenten, Phyton-Scripts und anderen systemnahen Verfahren kann es jedoch dazu kommen, dass die automatische Selektion nicht wirkt und im Ergebnis ein ungültiges Zertifikat gemeldet wird.

Weiterführende Informationen finden Sie in den FAQ von Sectigo: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT

 


Lesen Sie weiter »



Aug
14
Zimbra Collaboration 8.8.15 LTS
Gepostet von Andreas Wolske an 14 August 2019 11:03

Die lang erwartete Zimbra Collaboration Suite 8.8.15 LTS wurde jetzt veröffentlicht. Damit steht der Nachfolger der bisherigen „Long Term Support“ Version 8.7.11 jetzt mit etlichen Neuerungen zur Verfügung:

Als langjähriger Zimbra Partner unterstützen wir Sie gern in allen Belangen rund um die Planung, Installation und den laufenden Betrieb Ihrer Zimbra Inhouse- oder Managed Service- Lösung. Wir freuen uns auf Ihre Anfrage.

Aktuelle Videos finden Sie im Zimbra Youtube – Channel.

Vielleicht auch interresant: Zimbra Collaboration – Top 15 Tips & Tricks.


Lesen Sie weiter »



Jun
24
CVE-2019-11477/78/79 - Sicherheitslücke im Linux Kernel (TCP SACK Panic)
Gepostet von Andreas Wolske an 24 Juni 2019 15:00

Mitarbeiter des Streaming- Dienstes NetFlix haben Sicherheitslücken im Netzwerkstack des Linux-Kernels entdeckt, welche sich für DoS- Angriffe ausnutzen lassen.

Die Sicherheitslücke CVE-2019-11477 (TCP SACK Panic), für die alle Linux-Kernel ab einschließlich Version 2.6.29 anfällig sind, wird von RedHat als "wichtig" eingestuft, da sich dadurch aus der Ferne eine Kernel Panic und damit ein Neustart des Systems auslösen lassen. Betroffene Systeme sollten kurzfristig aktualisiert werden.

CVE Betroffenes OS Auswirkung
CVE-2019-11477 Linux mit Kernel > 2.6.29 "Integer Overflow" bei der Verarbeitung von SACK- Anfragen.
Führt zur "Kernel Panic" und Neustart des betroffenen Systems.
CVE-2019-11478 Linux mit Kernel < 4.14.127 Langsame Verarbeitung von SACK- Anfragen.
Führt zur Überlastung des betroffenen Systems.
CVE-2019-11479 Linux Führt zur Überlastung des betroffenen Systems.

Ob Ihr System betroffen ist, kann man unter RHEL 6/7 oder CentOS 6/7 mit dem von Red Hat bereitgestellten Script überprüfen. Das Script kann auch über den am Ende des Artikels befindlichen Link heruntergeladen werden.

Für RHEL 6/7 oder CentOS 6/7 liegen mit dem aktuellen Kernel- Versionen bereits Patches vor, die nicht mehr für o.g. Sicherheitslücken anfällig sind:

  • RHEL 7 / CentOS 7: Ab Kernel Version 3.10.0-957.21.3.el7
  • RHEL 6: Ab Kernel Version 2.6.32-754.15.3.el6
  • CentOS 6: Derzeit noch kein aktueller Kernel verfügbar.

Eine von NetFlix als schneller Workaround empfohlene Methode für alle Systeme ist die Kontrolle der SACK-Pakete mittels entsprechender Regeln:

-A INPUT -p tcp -m tcpmss --mss 1:500 -j DROP

Alternativ kann man TCP SACK auch komplett deaktivieren:

echo 0 >  /proc/sys/net/ipv4/tcp_sack

Permanent sind diese Einstellungen per sysctl möglich. Dazu sind in /etc/sysctl.conf folgende Ergänzungen nötig:

net.ipv4.tcp_sack = 0
net.ipv4.tcp_dsack = 0
net.ipv4.tcp_fack = 0

Diese Einstellungen können anschließen mittels sysctl -p aktiviert werden und bleiben auch nach einem Neustart des Systems wirksam.

Nach unserer Einschätzung dürften diese Lücken künftig eher zu Angriffen auf im Internet erreichbare IoT-Geräte ausgenutzt werden, da diese in vielen Fällen keine oder nur verspätete Updates durch die Hersteller erhalten. Serversysteme, die im Internet auch per ICMP oder SSH erreichbar sind, lassen sich mit einfachen DoS-Amplification Angriffen seit jeher überlasten. Wir empfehlen die zeitnahe Aktualisierung des Kernels und den vorsorglichen Einsatz der Filterregeln zur Vermeidung einer "Kernel Panic".

Weiterführende Informationen:

 


Lesen Sie weiter »