PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


Archive for the ‘Allgemein’ Category

TLS 1.0/1.1 Abschaltung: Eigene Versionsverteilung herausfinden und serverseitig abschalten

without comments

Browserhersteller planen, ab 2020 die TLS-Versionen 1.0 und 1.1 nicht mehr zu unterstützen:

https://www.heise.de/security/meldung/Verschluesselung-im-Web-Chrome-Firefox-Co-verabschieden-sich-von-TLS-1-0-1-1-4191864.html
https://www.golem.de/news/https-browser-wollen-alte-tls-versionen-2020-abschalten-1810-137135.html

Mit den richtigen Einstellungen und Ciphers ist TLS 1.0 noch sicher zu betreiben, aber man muss es eben richtig konfigurieren, wenn man alles beachten will: BEAST, POODLE, Sloth, DROWN, CRIME und BREACH, RC4, MD5, ROBOT, Sweet32, Bleichenbacher, Heartbleed, FREAK und Logjam, …

Da es schon ein Dutzend Probleme gab in den letzten Jahren, möchte man sich des Problems lieber früher als später entledigen, gern bevor es zum großen Knall kommt. TLS 1.2 ist nicht gegen all diese Probleme gewappnet, man muss nach wie vor aufpassen wie man die Ciphers konfiguriert. Aber man kann weniger Fehler machen. Und das Ziel ist es, TLS 1.3 zu nutzen, wo all dieses Probleme gelöst sind, da alles unsichere radikal entfernt wurde, und nicht mehr 100 Ciphers zur Auswahl stehen, sondern nur noch eine Handvoll. Weniger Auswahl ist eben manchmal besser.

Ich schrieb 2014 über die Abschaltung von SSLv3, und im Dezember 2017 darüber, dass ab dem 30. Juni 2018 im Kreditkarten-/Payment-Bereich TLS 1.2 als Minimum genutzt werden muss.

Weiterlesen »

Written by Michael Kliewe

Oktober 17th, 2018 at 7:06 pm

Blog mittels Let’s Encrypt dauerhaft via SSL erreichbar

with 5 comments

Nach einer viel zu langen Pause habe ich wieder etwas Luft für meinen Blog. Endlich…

Ein Kommentar von YamYamL hat mich daran erinnert, die HTTPS-Umstellung meiner Domain endlich abzuschliessen, und noch einen Endspurt einzulegen, die Domain verschlüsselt erreichbar zu machen.

Wäre hier nur ein einfaches WordPress-Blog gehostet, wäre es vermutlich eine Sache von einer Stunde gewesen. Ein Zertifikat besorgen, WordPress umkonfigurieren (Einstellungen -> Allgemein), und alle selbst gehosteten Bilder in den Posts in der Datenbank ändern von http://www.phpgangsta.de auf https://www.phpgangsta.de (ich habe das WordPress-Plugin Better Search & Replace genutzt). Aber…

Leider ist unter phpgangsta.de nicht nur dieser Blog erreichbar, sondern auch zig andere Projekte, selbst geschriebenes Zeug, teils 10 Jahre alt, und nicht HTTPS-fähig. Es ist also doch etwas mehr Arbeit gewesen, als „nur“ den Blog auf HTTPS umzustellen.
Der Port 443 war bereits seit langem offen, aber mit einem selbst signierten Zertifikat versehen. Da ich gern Let’s Encrypt (LE) verwende, LE aber keine Wildcards erlaubt (dann wäre es verhältnismäßig einfach gewesen, einfach für alle Subdomains ein zentrales Zertifikat zu hinterlegen), musste ich mein Domain-Verwaltungs-Reseller-Tool froxlor, das ich hier laufen habe, erstmal updaten auf eine Version, die LE unterstützt, so dass ich nun für einzelne Subdomains SSL aktivieren kann, und die Zertifikate auch via Cronjob immer brav erneuert werden.

Nicht vergessen darf man: In den Google Webmaster-Tools eine neue Property anlegen, den WordPress-Cache zu leeren falls man ein Cache-Plugin verwendet, Analytics umzustellen falls man es verwendet, und alle WordPress-Plugins prüfen dass sie HTTPS-fähig sind (bei mir waren sie das anscheinend dankenswerterweise).

Ich hoffe ich habe die meisten Mixed-Content-Probleme gelöst, könnte sein dass es noch irgendwo externen Content gibt (Bilder), der noch via HTTP eingebunden ist. Meldet ihn gern bei mir, sollte das Bild via HTTPS erreichbar sein, fixe ich das schnell, oder lade es auf meinen Space.

All in All durchaus einiges an Aufwand in den letzten Tagen und Wochen, aber seit heute ist der Blog nun via HTTPS verfügbar, incl. Let’s Encrypt Zertifikat, HTTP->HTTPS Weiterleitung und HSTS Header. Diverse Subdomains und andere (kleinere) Domains muss ich in den nächsten Wochen nach und nach umstellen, das kann noch etwas dauern.

Written by Michael Kliewe

Mai 4th, 2017 at 10:04 am

Gewinner der Verlosung für die code.talks 2015

with 3 comments

code.talks 2015Die Zeit ist um, ein Gewinner für das code.talks 2015 Freiticket muss bestimmt werden. 14 gültige Teilnehmer sind im Pott. Die richtige Antwort lautete natürlich: „Developer Conference“.

Max hat leider an die Key ID 79D56D60 verschlüsselt, die Key ID an die verschlüsselt werden sollte lautete jedoch A08ED813. Leider hat Max nicht auf meine E-Mail reagiert, ich hatte ihn darauf hingewiesen, er kann leider nicht teilnehmen an der Verlosung.

Wer von euch 14 hat gewonnen? Das Freiticket für die Konferenz geht an:

Weiterlesen »

Written by Michael Kliewe

Mai 27th, 2015 at 5:59 pm

code.talks 2015: Gutscheine und Freiticket!

with 21 comments

Die code.talks, die meines Wissens nach größte Webentwickler-Konferenz in Deutschland, findet auch dieses Jahr wieder statt und wird 1500 Entwickler begrüßen in Hamburg. Da sie in den letzten Jahren immer ausgebucht war und auch dieses Jahr wieder damit zu rechnen ist (nach 2,5 Monaten ist bereits über ein Drittel der Tickets verkauft), bin ich für euch an die Veranstalter herangetreten und habe um eine Aktion für meine Leser gebeten, und siehe da: Ich hatte Erfolg!

code.talks 2015Ich habe Gutscheincodes für euch, und auch ein Freiticket zu vergeben. Wie ihr die bekommt steht weiter unten.

Ende September, genauer am 29. und 30. September, werden alle 8 Säle im Cinemaxx Hamburg-Dammtor gefüllt und 112 Sessions mit Themen rund um Webentwicklung (PHP, Javascript, DevOps, Big Data, UX/Frontend, Skalierung, Infrastruktur, Mobile, Startups uvm.) werden viel Wissen vermitteln. Als Sprecher sind bereits an Bord: GitHub, StackOverflow, Zalando, Wooga, Jimdo, InnoGames, Cloudera und viele mehr. Der Call-for-Papers läuft noch, und die Liste wir garantiert viele weitere interessante Leute und Firmen beinhalten die aus der Praxis erzählen. 2 Tage volles Programm, incl. Frühstück, Mittagessen, Afterwork-Party, riesige Leinwände, bequeme Sessel und Popcorn & Nachos bis zum Umfallen 😉

Weiterlesen »

Written by Michael Kliewe

Mai 13th, 2015 at 1:52 pm

Gewinner der 6 Abos (PHP-Magazin und Entwickler-Magazin)

without comments

Ich habe soeben die 6 Abos ausgelost, die aus der Verlosung von vorletzter Woche stammen. 3 Mal das PHP-Magazin und 3 Mal das Entwickler-Magazin, für jeweils 1 Jahr. Insgesamt haben 25 Kommentare an der Verlosung teilgenommen, 18 Mal für das PHP-Magazin und 8 Mal für das Entwickler-Magazin. An diesen Zahlen sieht man schon dass einer für beides gleichzeitig teilgenommen hat, was ja nicht erlaubt war. Den musste ich streichen.
Ich musste außerdem einen Kommentar, der doppelt vorkam, entfernen (es lag anscheinend an technischen Problemen da der Text fast identisch ist, da wollte keiner betrügen nehme ich an).

Und hier sind die Gewinner:

Weiterlesen »

Written by Michael Kliewe

August 5th, 2014 at 12:11 am