🔒 Säker anslutning till ubuntu-se.org

[JoWa]

Säker anslutning till ubuntu-se.org är nu tillgänglig!

För att använda säker anslutning till forumet, går till https://ubuntu-se.org/phpBB3

Bakgrund:
I slutet av oktober 2014 började vi att diskutera att skaffa ett X.509-certifikat för ubuntu-se.org. Möjliga certifikatutfärdare diskuterades, men inget beslut fattades. Det rådde också viss tvekan om ifall vi behövde kontakta Canonical, som äger domänen, eller inte.

I november 2014 presenterades den nya certifikatutfärdaren Let’s Encrypt, som skulle lanseras under 2015. Efter drygt en månad som ”privat” beta (inbjudan krävdes), blev Let’s Encrypt tillgängligt för alla, som öppen beta 3 december.

Då ansågs tiden vara mogen för att ta steget, och johanre kontaktade Canonical, som inte hade några invändningar.

I går kväll meddelade johanre att certifikatet var på plats.

Varken omdirigering från http:// till https:// eller HSTS har aktiverats än. Det kan vara lämpligt att försäkra sig om att allt fungerar innan säker anslutning görs automatisk och obligatorisk.

Vi vill därför uppmana alla att besöka forumet via https://ubuntu-se.org/phpBB3 och rapportera eventuella problem i denna tråd.

Tack!

Jag har ännu inte stött på något problem på forumet, men på https://ubuntu-se.org/drupal/ finns vissa problem.

Att tänka på.
Bilder som länkats via osäker anslutning (http://) från andra sidor kommer nu att orsaka varning för blandat innehåll, eller blockeras, beroende på hur webbläsaren är konfigurerad. Om det handlar om bilder som användare har länkat till är det inte problem som behöver rapporteras här. Om däremot en del av forumet blockeras eller orsakar varningar bör det rapporteras här.

Den som i sina inlägg vill infoga bilder från andra sidor bör se till anslutningen till bildkällan är säker. Ett förslag är att använda Imgur och se till att adressen till bilden börjar med https:// Bilden nedanför är ett exempel. Bildens adress är https://i.imgur.com/lzqdGWd.png



Som bilden visar, erbjuds vad Chromium kallar ”en modern krypteringssvit”. Kraven för det är att det senaste kryptografiska protokollet, TLS 1.2, används med en AEAD-baserad kryptering, i vårt fall AES_GCM. För att krypteringssvit skall vara ”modern” måste nyckelutbytesmekanismen erbjuda framåtsekretess, vilket ECDHE_RSA gör.

Moderna webbläsare använder denna krypteringssvit: TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Även TLS 1.1 och 1.0 stöds. Ingen version av SSL stöds. Länkarna nedanför visar alla stödda krypteringssviter.

TLS_FALLBACK_SCSV stöds, vilket förhindrar nedgraderingsattacker (t.ex. från TLS 1.2 till 1.0 och en mer sårbar kryptering).

Vårt nuvarande certifikat, som är giltigt i nittio dagar: https://crt.sh/?id=11244932

Analys av certifikat och konfiguration:
https://sslanalyzer.comodoca.com/?url=ubuntu-se.org
https://www.ssllabs.com/ssltest/analyze ... ntu-se.org

[eson57]

Länkarna "Visa obesvarade inlägg | Visa aktiva trådar" kastar mig tillbaka till förcertifikathistorisk tid. Underbart ord... hittade just på det.

2015-12-10_092945.png (20.7 KiB) Visad 21360 gånger

[JoWa]

Japp, det är noterat. Tack.

Märkte det inte genast själv, då jag omedelbart lade till en regel i HTTPS Everywhere, men såg det då jag lät pekaren ”vila” på länkarna en stund.

Det gäller även Visa nya inlägg | Visa dina inlägg | Visa olästa inlägg.

[johanre]

Jag funderade lite på att automatiskt omdirigera alla http anslutningar till forumet, till https - och gjorde också det. Problemet vara bara att Tapatalk (mobilappen för läsning av forum) slutade fungera då den endast kör över http... Så jag tog bort omdirigeringen igen och gjorde en hastig uppskattning av antalet olika IP adresser som ansluter till forumet mha Tapatalk de senaste 2 dagarna: det är ca 90st

Jag tolkar det som att det är tillräckligt många för att motivera att *inte* stänga av http anslutningar till forumet. Personligen hade jag dock föredragit om vi endast körde https till forumet men detta verkar vara ett sådant fall där tekniken får ge vika för behoven.

Eller, hur ser ni på det?

[JoWa]

TT skall stödja HTTPS.

[johanre]

TT skall stödja HTTPS.

OK, har du en infolänk? Har letat lite men inte kunnat hitta. Alternativet är ju att slå på automatisk omdirigering till https igen under en förannonserad tidsperiod och hinna felsöka lite under tiden.

[eson57]

Hittade den här tråden på tapatalk supportforum...
https://support.tapatalk.com/threads/ta ... tes.32033/

Verkar som tapatalk inte stöder 301 omdirigering bland annat.

[JoWa]

Jag läste bl.a. på sidan eson länkar till:

Please ensure you set https in the Tapatalk Dashboard as well for this to work.

[johanre]

Ja, jag håller på att kolla upp det. Det visar sig att allt inte var färdigkonfigurerat på den nya servern. Inkommande mail funkar inte för tillfället, men jag löser det. "Jag har ju hela helgen på mig..." ;-)

Sent from my E2303 using Tapatalk

[JoWa]

Johan, detta osäkra innehåll tycks vara en del av ditt senaste inlägg.

Kod: Markera allt

<span class="postbody signature"><br /><span class="line">_________________</span><br /><img src="http://ubuntucounter.geekosophical.net/img/ubuntu-blogger.php?user=6732" alt="Bild" /></span>

Mixed Content: The page at 'viewtopic.php?f=60&t=59951' was loaded over HTTPS, but requested an insecure image 'http://ubuntucounter.geekosophical.net/ ... ?user=6732'. This content should also be served over HTTPS.

[johanre]

Jag har aktiverat automatisk omdirigering av forum anslutningar till https nu. Tapatalk krävde en uppdatering av API paketet plus återaktivering av tapatalk.com nyckeln och konfigurering av https URL, men forumanslutningen fungerar från min mobil så det ser än så länge bra ut.

Vad gäller http länken så är det en gammal signaturbild i min profil som länkar utanför forumet över http (jag tog iofs bort den nu).

[johanre]

...och, ja, inkommande mail till ubuntu-se.org fungerar också igen.

[JoWa]

Utmärkt!

De länkar som tidigare ledde till http är också uppdaterade, ser jag.

[JoWa]

Smärre uppdatering:

Vårt tredje certifikat, utfärdat i går, heter Let’s Encrypt Authority X3, medan de två första hette Let’s Encrypt Authority X1. Den enda praktiska skillnaden är att X3 är betrott också på Windows XP, som hade något problem med korssigneringen av X1.

Här är det aktuella certifikatet: https://crt.sh/?sha256=DDA6A16FFC23B95C ... 5B517A1188

Här kan man se alla certifikat som har utfärdats för ubuntu-se.org: https://www.google.com/transparencyrepo ... _sub=false

[bittin]

Najs och gött jobbat grabbar

[JoWa]

Det är johanre som gör jobbet.

Med den version av Certbot vi nu har, förnyas certifikatet automatiskt. Jag vet dock inte efter hur många dagar johanre angav att det skall ske.

Ett nytt certifikat utfärdas var sextionde dag, som man kan se i denna lista över alla certifikat för ubuntu-se.org: https://crt.sh/?q=ubuntu-se.org

[a_jonsson]

Certifikatet verkar ha gått ut, fick varningen om att fortsätta på egen risk:


Vanligt namn
ubuntu-se.org
[...]
Giltighet
Inte efter
Wed, 02 Aug 2023 03:37:27 GMT

[JoWa]

Ja, jag har meddelat Johan.

Det märkliga är att vi samtidigt har ett nyare, giltigt certifikat.

https://crt.sh/?id=9480708032