Chrome: Warnung vor unsicheren Ressourcen

Bildschirmfoto 2015-07-09 um 11.21.29Bei einer Website stießen wir kürzlich auf eine Warnung von Chrome (v 41), wie sie rechts zu sehen ist. Schnell war abgeklärt, dass keine „veraltete Kryptographie“ im Einsatz ist. Also nahmen wir den Teil „Diese Seite enthält jedoch andere, nicht sichere Ressourcen.“ unter die Lupe. Per Durchsicht im HTML-Quellcode konnten wir keine Resourcen-Einbindung mit „http://“-Quellen entdecken. Zur Sicherheit wurden sämtliche Javascripte und CSS-Dateien herausgenommen. Chrome meldete weiterhin seine Bedenken. Aus Clientsicht ließ sich nichts mehr erkennen. Wir guckten uns die Sache daher serverseitig an: welche Resourcen werden denn dort angefordert (nachdem wir externe Quellen ausschließen konnten)? Doch im access-Log tauchten zur Seiten-Anfragen via HTTPS auch nur Folgeanfragen via HTTPS auf. Nach und nach haben wir die Seite weiter minimalisiert – bis der „Schuldige“ gefunden war: ein Formular, das als action-URL einen http-URL enthielt.

Merke:
action-URLs sind zwar keine Resourcen, werden von Chrome aber offenbar als solche angesehen und ggf. bemängelt.

Danke für diese doch so aussagekräftige Fehlermeldung… 🙁

Einfügen / aktualisieren von SSL-Zertifikaten unter ispCP

SSL-Zertifikate unter ispCP einzurichten oder zu Verlängern ist etwas aufwändiger als im Apache aus der Dose.

Grundlagen

Das Vorgehen sieht im Detail wie folgt aus:
Auf dem fraglichen Server prüft man zuerst, ob die notwendigen Voraussetzungen erfüllt sind. Am einfachsten fällt dies, indem man sich über

crontab -l

die aktuellen Cronjobs anzeigen lässt. Hier muss folgende Zeile vorhanden sein:

 M  H  D   Mo   DoW    test -x /var/www/ispcp-bin/upd-ssl.pl && /var/www/ispcp-bin/upd-ssl.pl > /etc/apache2/sites-enabled/ispcp-ssl.conf 2>/dev/null

Hier erkennt man auch schon, welches Script relevant ist, in diesem Fall

/var/www/ispcp-bin/upd-ssl.pl

Sieht man sich dieses Script genauer an, wird man im Konfigurationsbereich u. a. die folgenden beiden Zeilen vorfinden:

my $sslenabledconfig='{Pfad zur}ssl.list';
my $sslcertfificatepath = "{Pfad}/ssl";

Zertifikate erstellen (die .pem-Dateien)

In den .pem-Dateien werden Schlüssel und Zertifikat gemeinsam gehalten. Sie sollten am Ende immer folgendermaßen aussehen:

-----BEGIN RSA PRIVATE KEY-----
MIIEp/IB//bC/QE/0f00rZqqrzbJZ0BtXCMzY3yVrQ4rHVLJVHBsX0IEbjq4RYnB
[...]
5j6je638LnVrVryj1iz3JmCN+ChyCpileIh4oe7FeP/m7CfY3bOmX/==
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIIFoTCCBImg/XIB/gIR/P+iVOuoGOHV6V5tX1YXFr4XVQYJboZIhvcN/QEFBQ/X
[...]
Y8eGOYE=
-----ENV CERTIFICATE-----

Wie man unschwer erkennen kann bestehen diese Dateien also aus einer Konkatenation von Schlüssel und Zertifikat als flache Textdatei. Nachdem man sichergestellt hat, dass die Datei mit einer Leerzeile endet, war es das an diesem Punkt auch schon. Die Datei wird unter dem Namen „sub.domainmitssl.org.pem“ im Verzeichnis, das in „$sslcertfificatepath“ definiert ist, abgespeichert.
Dieser Vorgang ist selbstverständlich für alle einzufügenden oder zu aktualisierenden Zertifikate entsprechend zu wiederholen.

Intermediate-Zertifikate

Für die meisten Zertifikate ist ein Intermediate-Zertifikat erforderlich um die Vertrauenskette zu einem Rootzertifikat lückenlos sicherstellen zu können. Diese werden analog zu den Zertifikatsdateien selbst als „sub.domainmitssl.org.pem.CA“ benannt und ebenfalls im Verzeichnis „$sslcertfificatepath“ abgelegt.

Zertifikate hinzufügen

„$sslenabledconfig“ zeigt auf die Liste von SSL-Zertifikaten, die berücksichtigt werden sollen. Der Inhalt dieser Datei folgt stets dem Schema

sub.domainmitssl.org sub.domainmitssl.org.pem

Im Detail bedeutet das, für die Domain „sub.domainmitssl.org“ ist die „Zertifikatdatei“ „sub.domainmitssl.org.pem“ zu benutzen.
Hier fügt man nun die Domain(s) mit den zugehörigen .pem-Dateien ein.

Hat man alle Domains in die Liste eingetragen und sichergestellt, dass die notwendigen Zertifikatdateien existieren, kann man entweder warten, bis der Cron, den wir am Anfang betrachtet haben, wieder läuft oder man startet das Script

/var/www/ispcp-bin/upd-ssl.pl

einfach manuell. Das Script erzeugt dann automatisch alle notwendigen Konfigurationen.

#!/usr/bin/perl 
#
use strict;

#####CONFIG
#
my $ispcpconfig='/etc/apache2/sites-enabled/ispcp.conf';
my $sslenabledconfig='/etc/ispcp/apache/ssl.list';
my $sslcertfificatepath = "/etc/apache2/ssl";

##


# ssl sites list
open (SSL,"<$sslenabledconfig");
my @tmpssl=grep /\w+/, <SSL>;
my %sslsites;
foreach(@tmpssl)
    {
    @_=split(/\s+/,$_);
    $sslsites{$_[0]}=$_[1];
    }

open(APACHE,"<$ispcpconfig");

my %virtualhosts;
while(<APACHE>)
    {
    my @tmpvirthost;
    chomp($_);
    if ($_ =~ /^\s*<VirtualHost/i)
        {
        push @tmpvirthost,$_;
        while(<APACHE>)
            {
            chomp($_);
            push @tmpvirthost,$_;
            last if ($_ =~ /^\s*<\/VirtualHost/i);
            }

        my @servname=map { $_ =~ /^\s+Servername\s+([\w.-]+)/i; $1 } grep(/ServerName/i, @tmpvirthost);
        my $serv=$servname[0];

#        print Dumper(@tmpvirthost);
    $virtualhosts{$serv}=\@tmpvirthost;
        }
            
        
        
    }

foreach my $onessl (keys %sslsites)
    {
    if (!defined($virtualhosts{$onessl}))
        {
        print "$onessl config is missing\n";
        next;
        }


    @{$virtualhosts{$onessl}}[0] =~ s/(<VirtualHost\s.+):80(.+)/$1:443$2/i;
    splice @{$virtualhosts{$onessl}},2,0,"SSLEngine ON";
    splice @{$virtualhosts{$onessl}},3,0,"SSLCertificateFile $sslcertfificatepath/$sslsites{$onessl}";
    if ( -f "$sslcertfificatepath/$sslsites{$onessl}.CA" )
        {
        splice @{$virtualhosts{$onessl}},3,0,"SSLCACertificateFile  $sslcertfificatepath/$sslsites{$onessl}.CA";
        }

    # print out the config, but only if the certificate file exists
    if ( -f "$sslcertfificatepath/$sslsites{$onessl}" )
        {
        print join("\n",@{$virtualhosts{$onessl}})."\n";
        }
    }

Fertig

Zum Abschluss startet man den Apache einmal neu, sodass die neuen Einstellungen greifen.

SSL Sign Request mit 2048bit RSA erzeugen

Damit man’s nicht vergisst:

openssl req -new -nodes -newkey rsa:2048 -keyout admin.`hostname -f`.key -out admin.`hostname -f`.csr