Wenn man externe APIs ansprechen muss, zu denen der Zugang auf eine SSL-Verschlüsselte HTTP-Verbindung reduziert ist, kann man bei Problemen nicht einfach einen Sniffer anwerfen, um den Verkehr zu analysieren, weil dieser verschlüsselt ist. Da das aber manchmal unerlässich ist, bietet es sich an, eine art Proxy zu bauen. Ich habe dazu stunnel verwendet, das [...]
Um mal schnell eine SSL/TLS-Datenübertragung zu testen, ist es praktisch, wenn man ein ungültiges SSL-Zertifikat auch mal ignorieren kann. Mit diesem Code hier geht das:
using System.Net;
…
ServicePointManager.ServerCertificateValidationCallback =
new RemoteCertificateValidationCallback
(IgnoreCertificateErrorHandler);
…
private bool IgnoreCertificateErrorHandler
(object sender,
System.Security.Cryptography.X509Certificates.X509Certificate [...]
Heute wollte ich mir bei Thawte ein neues E-Mail-Zertifikat besorgen. Früher war das nicht schwer: Einfach im Browser meiner Wahl auf deren Seiten gehen, den Bestellvorgang starten, dieser öffnet das Browser-Crypto-Plugin, generiert meinen Key und fordert das Zertifikat an. Warten, bis es ausgestellt (issued) ist und auf “Fetch” klicken, fertig.
Erst habe ich es mit IE [...]
Heute habe ich mich mit Tunnelier beschäftigt, weil es mein absolutes Lieblingstool BeyondCompare um SCP/SFTP-Funktionalitäten erweitert. Dabei ist mir aufgefallen, dass ersteres auch das Zeug zum Lieblingstool HAT, zumindest in der Nische SSH/SFTP/SCP. Neben einem SSH-Client beinhaltet das Tool einen eigenen SCP/SFTP-Client, sowie eine SFTP to FTP bridge, damit FTP-Tools auf SFTP zugreifen können. [...]
Eigentlich sollte das doch selbsterklärend sein und trotzdem durchsucht man das komplette Internet, bis man am Ende doch hier rauskommt:
http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html
Hier wird erklärt, wie man ganz schnell ein einfaches Zertifikat zu Testzwecken generiert, wie man mit fremd-CAs umgeht, wie man mit einer eigenen CA arbeitet und vieles mehr.
Ich musste es hinbekommen, dass ein Windows 2003-Server einen anderen im gleichen Subnetz zu Testzwecken nicht mehr erreichen konnte. Die IP Security von Windows 2003 hat hier weitergeholfen.
In folgendem Artikel wird das ICMP-Spezifisch erklärt, die Infos lassen sich jedoch einfach verallgemeinern:
http://www.petri.co.il/block_ping_traffic_with_ipsec.htm
Nur kurz zusammengefasst:
Netscape hat irgendwann SSL 1.0 entwickelt, ein paar Monate später kam dann 2.0 raus.
Microsoft dachte “das können wir auch” und hat sowas ähnliches namens PCT gemacht, das einige Probleme von SSL 2.0 beseitigt hat.
Dann kam irgendwann SSL 3.0 raus und darin waren dann die Verbesserungen von PCT auch übernommen.
Daraufhin war ein paar Jahre [...]