Archiv der Kategorie: Allgemein

Schutz für SSL-Zertifikate mit CAA

/ Allgemein, Domains

SSL-Zertifikate sind aus dem Internet nicht mehr wegzudenken. Bei Websites sind sie Pflicht, wenn Logindaten, Passwörter oder personenbezogene Daten in irgendeiner Form übermittelt werden. Dem Besucher signalisieren sie, dass seine Daten verschlüsselt übertragen werden, und bei Zertifikaten mit Company Validation oder Extended Validation kann er sehen, für welche Firma sie ausgestellt sind.

Wie wird sichergestellt, dass ein SSL-Zertifikat tatsächlich von genau der Firma beantragt wurde, auf deren Website es installiert ist? Für einen Betrüger, der zum Beispiel Besucher einer Bank auf eine gefälschte Website umleiten möchte, wäre es natürlich eine große Hilfe, wenn er auch das SSL-Zertifikat der Bank auf seiner Website vorzeigen könnte! Um das zu verhindern, prüft jeder öffentliche Zertifikatsaussteller (Certificate Authority) durch eine Validierung die Echtheit des Antragstellers. Diese Validierung hat in der Vergangenheit nicht immer hunderprozentig funktioniert. Der bekannteste Fall: Symantec hat in der Vergangenheit unberechtigterweise Zertifikate für google.com ausgestellt (worauf Google Symantec und seinen Tochterunter-nehmen das Vertrauen entzogen hat).

Google hat als Browserhersteller natürlich ein starkes Mittel, einem Zertifikatsaussteller das Vertrauen zu entziehen: Google muss nur seinem Browser beibringen, bei allen solchen Zertifikaten die Fehlermeldung Nicht vertrauenswürdig! anzuzeigen. Diese Möglichkeit haben nur wenige. Was kann man aber als normaler Zertifikatsanwender tun, um sich gegen das unberechtigte Ausstellen von Zertifikat für seine Domain zu wehren?

Eine vorbeugende Möglichkeit ist es, in der DNS seiner Domain anzugeben, welchem Zertifikatsaussteller man erlauben möchte, SSL-Zertifikate für diese Domain auszustellen. Das kann man durch sogenannte CAA-Records erreichen. Hier ein Beispiel im DNS-Editor bei deLink:

DNS-Editor bei deLink

Der Eintrag
domain.de CAA 0 issue „letsenrypt.org“
sagt aus, dass nur der Zertifikatsaussteller Let’s Encrypt berechtigt sein soll, SSL-Zertifikate für domain.de auszustellen. Der Eintrag
domain.de CAA 0 iodef „mailto:support@delink.de“
sagt aus, dass alle anderen Zertifikatsaussteller eine Email an support@delink.de schicken sollen, wenn ein SSL-Zertifikat für domain.de bei ihnen beantragt wird. Das gleiche soll für www.domain.de gelten. Durch einen Eintrag
domain.de CAA 0 issuewild „letsencrypt.org“
kann man auch angeben, dass die Berechtigung für die Domain und alle ihre Subdomains gelten soll. Eine Liste mit Bezeichnungen der verfügbaren Zertifikatsaussteller wird u.a. von Mozilla geführt.

Zu beachten ist, dass CAA-Records nur Empfehlungen an die öffentlichen Zertifikatsaussteller darstellen. In wie weit sich die Aussteller daran halten, wird die Zukunft zeigen. Auf jeden Fall stellen CAA-Records einen gewissen, wenn auch keinen absoluten Schutz gegen das unberechtigte Ausstellen von Zertifikaten dar. Bei wichtigen Domains sollte man sich diese Schutzmöglichkeit nicht entgehen lassen.

Bösartige Phishing-Mails im Umlauf

/ Allgemein, Domains

caution_phishing

Aktuell erhalten viele Domaininhaber gefälschte Mails, die über eine angebliche Sperrung Ihrer Domain wegen Missbrauchs informieren. Die Mails sehen echt aus, weil

  • als Absender deLink oder andere, tatsächlich existierende Registrare angegeben sind
  • die Emailadresse des Empfängers stimmt
  • die persönliche Anrede stimmt
  • die Domain dem Empfänger wirklich gehört

Die Daten sind anscheinend aus den öffentlichen Whois-Informationen der Domain abgegriffen worden. Der Text der Mail lautet in etwa

Dear Hans Mustermann,

The Domain Name youdomain.com have been suspended for violation of the deLink GmbH Abuse Policy.

Multiple warnings were sent by deLink GmbH Spam and Abuse Department to give you an opportunity to address the complaints we have received.

We did not receive a reply from you to these email warnings so we then attempted to contact you via telephone.

We had no choice but to suspend your domain name when you did not respond to our attempts to contact you.

Click here and download a copy of complaints we have received.

Diese Mails sind GEFÄLSCHT.

Wenn Sie auf den angegebenen Link klicken, laden Sie sich mit hoher Wahrscheinlichkeit einen Trojaner auf Ihr Gerät. Wenn Sie im Zweifel sind, leiten Sie uns bitte die Mail weiter, wir untersuchen sie und geben Ihnen eine Rückmeldung.

 

Nein – das ist keine Rechnung!

/ Allgemein, Domains

Seit ein paar Tagen bekommen Domaininhaber Anschreiben mit dem Absender .DE Deutsche Domain, die das Wort Rechnung als Überschrift haben. Darin wird ein gesalzener Betrag für eine – der Domainname wird nicht genannt – „Domain Registrierung“ ausgewiesen.

DE_Deutsche_Domain

Lesen Sie das Kleingedruckte. In der Fußzeile steht, um was es sich handelt:

Dies ist ein angebot und keine rechnung.

(Die Gross-/Kleinschreibung ist aus dem Original übernommen). Unser Rat: Ab in den Papierkorb! Vielleicht können Sie sich sogar überlegen, ob eine Anzeige sinnvoll wäre.

 

(Klicken Sie auf das Bild, um ein vollständiges Beispiel anzusehen.)

Heartbleed bei deLink

/ Allgemein, Hosting

heartbleedDer kleine, aber gravierende und weitreichende Fehler in der Verschlüsselungssoftware openSSL, der es unter dem Namen Heartbleed-Bug zu großer Bekanntheit auch ausserhalb von Fachkreisen gebracht hat, betrifft auch deLink und die Kunden von deLink.

Auf etwa 30% aller Server von deLink war openSSL mit diesem Fehler installiert. Unmittelbar nach dem Bekanntwerden des Problems haben wir auf allen betroffenen Servern die Fehlerbehebung installiert. Ab dem 08.04.2014 15:01 CET gab es bei deLink keinen Server mehr, der die Lücke aufwies. Trotzdem bedeutet dies, dass die Daten von SSL-Zertifikaten und damit verschlüsselten Passwörter in der Zwischenzeit in falsche Hände gekommen sein könnten.

Wichtig für Sie

Die Domain- und Serververwaltung und der Kunden-Verwaltungsbereich bei deLink waren zu keinem Zeitpunkt von diesem Problem betroffen. Hier besteht für Sie kein Handlungsbedarf.

Das Emailsystem von deLink war von diesem Problem betroffen. Die Verschlüsselungssoftware sowie das SSL-Zertifikat wurden ausgetauscht. Sicher (nach heutigem Stand) ist Ihre Email aber erst wieder, wenn Sie Ihre Passwörter geändert haben. Wir haben alle Email-Kunden dazu informiert.

Sämtliche von deLink bezogenen, eventuell betroffenen SSL-Zertifikate wurden kostenlos ausgetauscht. Alle Kunden, die SSL-Zertifikate von anderen Anbietern auf deLink-Servern installiert haben, wurden informiert.

Fazit

Wieder einmal zeigt sich, dass eine zu starke Zentralisierung auch bei kleinen Problemen globale Folgen haben kann. Bisher haben wir keinerlei Anzeichen dafür, dass der Heartbleed-Bug Schaden für die Kunden von deLink angerichtet haben könnte. Hoffen wir, dass es dabei bleibt.

 

 

 

Email mit verschlüsselter Übertragung

/ Allgemein, Email

Alle reden davon, keiner weiss es: Wer kann was lesen von dem, was im Internet an Daten ausgetauscht wird?

Wenn Sie Ihre Email bei deLink verwalten, können Sie unerwünschten Mitlesern das Leben schwer machen: Übertragen Sie Ihre Emails nur noch verschlüsselt vom und zum deLink-Mailsystem!

keysDie deLink-Server stellen die Möglichkeit zur verschlüsselten Übertragung ab sofort zur Verfügung. Sie haben die Wahl – wenn Sie sie nutzen wollen, müssen Sie lediglich Ihrem Email-Client (OutLook, Thunderbird, MacMail … was immer Sie nutzen) das mitteilen. Dazu ersetzen Sie die Namen der Posteingangs- (POP3, IMAP) und Postausgangsserver (SMTP) wie folgt:

– bisher mail.<meinedomain> (statt <meinedomain> steht hier der Name Ihrer Domain)
– neu mail.delink-ssl.net

und aktivieren Sie „Verschlüsselung“ in Ihrem Email-Client. Wie das geht, entnehmen Sie bitte der Dokumentation Ihres Clients. Meistens stellt der Client dabei die verwendeten Ports gleich richtig ein. Wenn nicht, verwenden Sie bitte

  • Port 465 für verschlüsseltes SMTP
  • Port 993 für verschlüsseltes IMAP
  • Port 995 für verschlüsseltes POP3

Der Zugang zu Webmail und Mailverwaltung ist immer verschlüsselt: Verwenden Sie

http://admin.delink.email für die Mailverwaltung
http://delink.email für Webmail

Sie werden dann automatisch auf eine sichere Verbindung weitergeleitet. Ihre Zugangsdaten für Client, Mailverwaltung und Webmail bleiben unverändert.

Probleme mit Email nach Client-Updates

/ Allgemein

Die mit dem September-Patchday herausgekommenen Updates von Microsoft haben das Verhalten von verschiedenen Email-Clients verändert, unter anderen OutLook Express, OutLook und MailDroid. Auch andere Email-Clients scheinen davon betroffen zu sein. Die Folge: Das Abholen und/oder Versenden von Mail funktioniert eventuell nicht mehr. Bei Windows Live Mail unter Windows 8 erscheint bedauerlicherweise nicht einmal eine Fehlermeldung dazu.

Der Grund

Es wird geprüft, ob ein SSL-Zertifikat für die Domain vorliegt, über die der Mailserver angesprochen wird. Wenn keines vorliegt, wird Mail weder abgeholt noch versendet.

Die Abhilfe

Ersetzen Sie in den Einstellungen für Ihre Mailkonten den Namen des Mailservers, der bisher unseren Empfehlungen nach mail.<meinedomain> lautete (<meinedomain> steht für Ihre individuelle Domain), durch

mail.delink-ssl.net

und zwar sowohl für Posteingangsserver (POP3 und IMAP), als auch für Postausgangsserver (SMTP). Optional können Sie dabei auch SSL-Verschlüsselung aktivieren. Dann gelten folgende Einstellungen

Postausgangsserver (SMTP) mail.delink-ssl.net Port 465
Posteingangsserver (POP3) mail.delink-ssl.net Port 995
Posteingangsserver (IMAP) mail.delink-ssl.net Port 993

Nach der Änderung funktioniert der Mailverkehr wieder wie gewohnt.