Liebe trash.netter,
Alle Serverzertifikate von trash.net sind nun neu erstellt und aktiviert.
Das betrifft folgende Server und Dienste:
Mailservice:
mail.trash.net (SMTP, POP3S, IMAPS)
knox.trash.net (SMTP)
Webserver:
your.trash.netcloud.trash.netdspam.trash.netbeer.trash.net
Jabber:
jabber.trash.net
Die Zertifikate enthalten einen RSA Public Key mit 2048 Bits und sind mit
SHA512 RSA von CAcert Class 3 Root signiert. Damit sind womöglich
Client-Softwarepakete im Zugzwang, weil ältere Softwarepakete unter
Umständen das Verfahren SHA512 nicht enthalten und damit die Signatur der
Zertifikate nicht prüfen können.
Bisher ist nur Postfix zusammen mit OpenSSL 1.0.1 kompiliert und damit fähig
die erweiterten Ciphers von TLS 1.2 zu nutzen. Ab sofort ist nun OpenSSL
1.0.1 die offizielle Version von trash.net und die weiteren Dienste werden
nach und nach ebenfalls damit kompiliert werden. Dies bedeutet für ältere
Client-Softwarepakete eine weitere Hürde, weil die viel längere Liste von
Ciphers zu Problemen beim SSL-Handshake führen könnte.
Damit sollte nun auch die Gefährdung durch den Heartbleed Bug via Postfix
seit dem 23.2.2014 und indirekt über Dovecot beseitigt sein. Wer sich
darüber mittels Username/Passwort angemeldet hat, sollte sicherheitshalber
jetzt das Passwort ändern.
Bei Fragen und Bemerkungen stehe ich zur Verfügung
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
> -----Ursprüngliche Nachricht-----
> Von: Othmar Truniger [mailto:truniger@bluewin.ch]
> Gesendet: Samstag, 12. April 2014 15:42
> An: 'announce(a)trash.net'
> Betreff: Alle Zertifikate von trash.net revoked
>
>
> Liebe trash.netter,
>
> aus Sicherheitsgründen sind soeben alle Serverzertifikate von
> trash.net revoked worden. Wer also seinen Zugriff auf einen
> SSL-Service gegen die CRL von CAcert.org prüft, müsste nun
> eine Fehlermeldung bekommen.
>
> Der Hintergrund für diese Aktion ist die Verletzbarkeit von
> Postfix durch den Heartbleed Bug, welcher durch die
> Umstellung von Postfix auf OpenSSL seit dem 23.2.2014
> ausnutzbar war. Der Bug ist nun behoben und nur Postfix war
> bisher auf OpenSSL 1.0.1 basiert. Allerdings nutzt auch
> Dovecot das selbe Zertifikat und wer auf Nummer sicher gehen
> will, sollte auch sein Passwort ändern, da die Kommunikation
> über POP3S und IMAPS auch nicht mehr als sicher betrachtet
> werden kann. Aber erst nachdem die Serverzertifikate alle
> ersetzt sind. Dies wird bis Sonntag Mittag erledigt sein,
> heute habe ich leider keine Zeit mehr. Ich habe keine
> direkten Indizien, dass wir aktiv attackiert worden sind. Das
> Risiko ist klein, aber eine Attacke hinterlässt auch keine Spuren.
>
> Die gute Nachricht: die neuen Zertifikate werden nach
> aktuellen Sicherheitskriterien erstellt.
> Die schlechte Nachricht: ältere Softwarepakete werden
> womöglich Schwierigkeiten mit der Signaturprüfung haben, da
> Cacert.org nun mit SHA512 und nicht mehr mit SHA1 signiert.
>
> Bei Fragen und Bemerkungen stehe ich zur Verfügung
>
> Gruss, Othmar
> Sysadmin trash.net
>
> Othmar Truniger
> URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
> ____________________________________________________
>
Liebe trash.netter,
aus Sicherheitsgründen sind soeben alle Serverzertifikate von trash.net
revoked worden. Wer also seinen Zugriff auf einen SSL-Service gegen die CRL
von CAcert.org prüft, müsste nun eine Fehlermeldung bekommen.
Der Hintergrund für diese Aktion ist die Verletzbarkeit von Postfix durch
den Heartbleed Bug, welcher durch die Umstellung von Postfix auf OpenSSL
seit dem 23.2.2014 ausnutzbar war. Der Bug ist nun behoben und nur Postfix
war bisher auf OpenSSL 1.0.1 basiert. Allerdings nutzt auch Dovecot das
selbe Zertifikat und wer auf Nummer sicher gehen will, sollte auch sein
Passwort ändern, da die Kommunikation über POP3S und IMAPS auch nicht mehr
als sicher betrachtet werden kann. Aber erst nachdem die Serverzertifikate
alle ersetzt sind. Dies wird bis Sonntag Mittag erledigt sein, heute habe
ich leider keine Zeit mehr. Ich habe keine direkten Indizien, dass wir aktiv
attackiert worden sind. Das Risiko ist klein, aber eine Attacke hinterlässt
auch keine Spuren.
Die gute Nachricht: die neuen Zertifikate werden nach aktuellen
Sicherheitskriterien erstellt.
Die schlechte Nachricht: ältere Softwarepakete werden womöglich
Schwierigkeiten mit der Signaturprüfung haben, da Cacert.org nun mit SHA512
und nicht mehr mit SHA1 signiert.
Bei Fragen und Bemerkungen stehe ich zur Verfügung
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
____________________________________________________
Liebe Trash.Net Mitglieder,
Die Mitgliederversammlung findet wie angekündigt am
--> Samstag, 1. März 2014 ab 18:00 Uhr <--
statt.
Als Experiment werden wir die Versammlung dieses Jahr erstmalig sowohl
physikalisch als auch virtuell als Teamviewer-Meeting abhalten.
Physikalischer Ort: Saal im 1. OG der Rheinfelder Bierhalle (Eingang
rechts *neben* Restaurant verwenden!) [1]
Virtuell: Teilnahme per TeamViewer Session [2].
Wir freuen uns natürlich sowohl über zahlreiches Erscheinen vor Ort,
als auch virtuelle Teilnahme via TeamViewer (virtuelles Bier gibt's
dann unter http://beer.trash.net/). *smile*
Liebe Grüsse
Roman, Präsi
[1] http://www.rheinfelder.ch/ - Achtung: Eingang ist beim Laden
*rechts neben* dem Restaurant!
[2] http://go.teamviewer.com/v9/m38567300 - Meeting-ID: m38-567-300
[3] Traktanden: https://your.trash.net/wiki/gv2014:traktanden
Liebe trash.net-ler/innen,
Wir freuen uns, euch die Resultate des Design-Wettbewerbs zur
Abstimmung vorlegen zu können!
Eine Klasse Mediamatik-Lernender im Kanton Luzern hat sich der Aufgabe
gestellt und hat drei neue Designs erarbeitet.
Es handelt sich bei den Designs explizit NICHT um fertige Webseiten
(darum auch nicht sehr performant)! Bitte konzentriert euch
hauptsächlich auf Layout, Design, Farben und Logo. Bilder und Texte
werden wir natürlich bei der Umsetzung des "Sieger-Designs" anpassen. :)
Die drei Designs findet ihr hier:
- Design A: http://www.mikeart.ch/trashnet/
- Design B: http://trashnet.coservice.ch/
- Design C: http://trash-net.bplaced.net/
Für die Abstimmung haben wir das alt-bewährte Vote-Skript reaktivert.
Bitte nur für das Design JA stimmen, welches ihr unterstützen wollt.
Bei allen anderen bitte NEIN oder ENTHALTUNG wählen!
---> https://your.trash.net/~vote (Login mit trash.net Username/Passwort) <---
Bitte gebt eure Stimme für eines der 3 neuen Designs *oder* für
Beibehaltung des alten Designs bis am 15.12.2013 ab. So können wir dem
allfälligen Siegerteam rechtzeitig auf Weihnachen ein kleines Geschenk
machen... :)
Wir freuen uns natürlich auch über Kommentare, Anregungen, Angebote
zur Mithilfe bei der Umsetzung... über talk(a)trash.net
Liebe Grüsse
Euer trash.net Vorstand
PS: Wer Probleme mit dem Vote-Script hat, kann seine Stimme auch
vertrauensvoll an den Präsi (romanf(a)trash.net) schicken... ;)
Liebe trash.net-ler/innen,
Der Vorstand hat das Datum für die GV 2014 festgelegt.
Bitte reserviert euch: Samstag 1. März 2014 (Abends, irgendwo Nähe
Zürich HB), damit wir möglichst viele Mitglieder persönlich begrüssen
können.
Genaue Daten (Ort, Zeit, Programm) werden wir noch kommunizieren. :)
Liebe Grüsse
Roman
Liebe Trash.Net-Mitglieder,
Nach einer intensiven Testphase freuen wir uns, euch die produktive
"trashcloud" vorzustellen:
https://cloud.trash.net/
Diese Cloud wird vollständig auf unseren Servern betrieben und steht
unseren Mitgliedern zur freien Nutzung zur Verfügung. Der Login
erfolgt mit dem normalen trash.net Account.
Da unsere Ressourcen nicht unlimitiert sind, haben wir die folgenden
Spielregeln aufgestellt:
- Per Default kann jedes Mitglied maximal 512 MB Daten in der
tashcloud ablegen. Mehr kann per Mail beantragt werden.
- Die trashcloud ist vorwiegend für Dokumente gedacht, die ihr auf
verschiedenen Geräten jederzeit synchronisiert haben wollt.
- Die trashcloud ist *nicht* für grosse Foto- oder Video-Sammlungen gedacht.
- Daten können per URL auch Nicht-Mitgliedern zugänglich gemacht
werden (sharing). Super wäre es natürlich, wenn solche
Nicht-Mitglieder dann zu Mitgliedern mutieren... ;)
Wir haben die trashcloud und die üblichen Client-Progrmme (Windows 7,
Linux, Mac OS X, Android, iOS) ausgiebig getestet. Wenn's doch mal 'n
Problem gibt, dann bitte auf support(a)tash.net melden.
Bitte beachtet: Die trashcloud ist ein Arbeitswerkzeug und ersetzt
kein Backup! trash.net garantiert kein Backup für die Daten, welche
ihr in der trashcloud ablegt.
Die Test-Cloud (https://your.trash.net/owncloud/) werden wir bis Ende
Dezember 2013 parallel weiterbetreiben. Bitte verschiebt eure Daten
selber in die produktive trashcloud!
Viel Spass mit unserer Cloud wünschen
Roman, Othmar, Lukas und Frank
PS: Aktuell verwenden wir das SSL-Zertifikat von "your.trash.net" auch
für owncloud.trash.net. Sobald unser Othmar genügend CA-Cert Punkte
hat, ändern wir das. Wenn jemand Assurer ist, oder einen solchen
kennt, dann bitte melden! :)
Hallo trash.net Benutzergemeinde,
Wie angekündigt sind die neuen SSH Keys ab sofort aktiviert.
Die Keys sind auch publiziert unter http://www.trash.net/security/
Gruss, Othmar
Sysadmin trash.net
-----Ursprüngliche Nachricht-----
Von: Othmar Truniger [mailto:truniger@bluewin.ch]
Gesendet: Samstag, 26. Oktober 2013 13:22
An: 'announce(a)trash.net'
Betreff: neue SSH Keys in Vorbereitung
Hallo trash.net Benutzergemeinde,
es ist Zeit wieder einmal die SSH Host Keys von stinky.trash.net zu
erneuern.
Hier zum Vormerken die neuen Public Keys. Ihr könnt auch im Voraus einloggen
und die Keys selbst überprüfen:
RSA:
# ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_rsa_key.pub.new
2048 fe:d8:c1:f6:c9:5f:ba:07:a7:e8:34:15:d0:d2:88:0b root@stinky (RSA)
DSA:
# ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_dsa_key.pub.new
1024 a7:52:b4:71:68:1b:70:56:08:81:ee:3f:08:8f:e6:32 root@stinky (DSA)
ECDSA:
#ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_ecdsa_key.pub.new
256 21:3f:93:cc:b1:50:29:06:5a:ed:7e:0c:e3:48:4a:93 root@stinky (ECDSA)
Geplanter Termin für die Umstellung:
Dienstag, 29.11.2013 Abend
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
____________________________________________________
Hallo trash.net Benutzergemeinde,
es ist Zeit wieder einmal die SSH Host Keys von stinky.trash.net zu
erneuern.
Hier zum Vormerken die neuen Public Keys. Ihr könnt auch im Voraus einloggen
und die Keys selbst überprüfen:
RSA:
# ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_rsa_key.pub.new
2048 fe:d8:c1:f6:c9:5f:ba:07:a7:e8:34:15:d0:d2:88:0b root@stinky (RSA)
DSA:
# ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_dsa_key.pub.new
1024 a7:52:b4:71:68:1b:70:56:08:81:ee:3f:08:8f:e6:32 root@stinky (DSA)
ECDSA:
#ssh-keygen -l -f /sw/pkgs/openssh/etc/ssh_host_ecdsa_key.pub.new
256 21:3f:93:cc:b1:50:29:06:5a:ed:7e:0c:e3:48:4a:93 root@stinky (ECDSA)
Geplanter Termin für die Umstellung:
Dienstag, 29.11.2013 Abend
Gruss, Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
____________________________________________________
Liebe trash.net Mitglieder,
Wir haben einen Twitter-Account eingerichtet, über den wir kleinere
Infos (Software-Updates, kleine Störungen, Hinweise, ...) einfach
verbreiten können:
https://twitter.com/trash_net_info
Wir freuen uns über Followers (@trash_net_info)... :)
Liebe Grüsse
Roman, Präsi
Hallo trash.net Mitglieder,
ab sofort steht auf trash.net ein weiterer Service zur Verfügung: Zugriff
mit SSH über stunnel. Damit kann man unter dem Radar von IDS und Firewalls
bleiben und einfacher über Proxyserver verbinden, wenn man mit SSH auf
trash.net zugreifen will.
Der Zugriff kann auf unterschiedliche Arten erfolgen:
- nur IPv4: Zugriff auf tunnel4.trash.net:443
- nur IPv6: Zugriff auf tunnel6.trash.net:443
- beides: Zugriff auf tunnel.trash.net:443
Der Service antwortet mit einem selfsigned Zertifikat auf den Namen
tunnel.trash.net
Für Rückfragen und für Feedback bitte melden.
Othmar
Sysadmin trash.net
Othmar Truniger
URL http://www.truniger.ch/ Email mailto:truniger@bluewin.ch
____________________________________________________
