HTTP über SSL (HTTPS) – Uwe Gradenegger

TLS-Datenverkehr mit Wireshark inspizieren (HTTPS entschlüsseln)

Bei Fehlersuche kann es sehr hilfreich sein, verschlüsselte SSL Verbindungen einzusehen, um die darin liegenden Nachrichten inspizieren zu können. Es gibt einen relativ einfachen Weg, dies mit Wireshark zu realisieren.

HTTP Fehlercode 403 bei Anmeldung mittels Client-Zertifikat an Internet Information Services (IIS) nach Erneuerung des Webserver-Zertifikats

Folgendes Szenario angenommen:

Ein Benutzer oder eine Anwendung ruft eine auf einem Internet Information Services (IIS) Webserver betriebene Webseite oder Webanwendung auf.
Der Webserver is so konfiguriert, dass für die aufgerufene Ressource ein Clientzertifikat angefordert wird.
Obwohl auf dem Client ein gültiges Clientzertifikat vorliegt, wird umgehend der Fehlercode 403 Forbidden zurückgegeben. Der Anwender wird (bei Aufruf der Seite mit einem Browser) nicht zur Auswahl eines Zertifikats aufgefordert.
Das Webserver-Zertifikat wurde jüngst erneuert und die IIS SSL-Bindung entsprechend über den IIS-Manager konfiguriert.

403 - Forbidden: Access is denied.
You do not have permission to view this directory or page using the credentials that you supplied.

Verwenden von HTTP über Transport Layer Security (HTTPS) für die Sperrlistenverteilungspunkte (CDP) und den Onlineresponder (OCSP)

In Hinsicht auf die Gestaltung der Infrastruktur zur Bereitstellung der Sperrinformationen – also der Sperrlistenverteilungspunkte (CRL Distribution Point, CSP) sowie der Online Responder (Online Certificate Status Protocol, OCSP) kommt die Frage auf, ob man diese über Secure Sockets Layer (SSL) bzw. Transport Layer Security (TLS) "absichern" sollte.

Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?

Beim Registrierungsdienst für Netzwerkgeräte (NDES) handelt es sich um die Microsoft-Implementierung des in den frühen 2000ern von der Firma Cisco entwickelten Simple Certificate Enrollment Protocol (SCEP). Die erste Implementierung wurde mit Windows Server 2003 veröffentlicht.

Es mag verwundern, dass NDES in der Standardeinstellung bis heute kein Secure Socket Layer (SSL) für die HTTP-Verbindungen verwendet. Dieser Sachverhalt wird nachfolgend näher erläutert und bewertet.

Secure Sockets Layer (SSL) für die Zertifizierungsstellen-Webregistrierung (CAWE) aktivieren

In der Standardkonfiguration nimmt die Zertifizierungsstellen-Webregistrierung (Certificate Authority Web Enrollment CAWE) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass die CAWE für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

Erzeugen einer RFC 2818 konformen Zertifikatanforderung für SSL Zertifikate

Google ist mit dem Chromium Projekt und darauf basierenden Produkten wie Google Chrome und Microsoft Edge dazu übergegangen, das im Jahr 2000 verabschiedete RFC 2818 zu erzwingen und Zertifikaten nicht mehr zu vertrauen, welche das RFC nicht mehr erfüllen.

Für uns ist folgender Satz von großer Brisanz:

If a subjectAltName extension of type dNSName is present, that MUST be used as the identity. Otherwise, the (most specific) Common Name field in the Subject field of the certificate MUST be used. Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead
https://tools.ietf.org/html/rfc2818

Secure Sockets Layer (SSL) für den Registrierungsdienst für Netzwerkgeräte (NDES) aktivieren

In der Standardkonfiguration nimmt der Network Device Enrollment Service (NDES) nur unverschlüsselte Verbindungen via HTTP an. Es ist angeraten, dass zumindest die Administrations-Webseite von NDES für HTTP über TLS (HTTPS) konfiguriert wird, um Mitschnitte des Netzwerkverkehrs zu erschweren. Nachfolgend eine Anleitung.

Für eine nähere Betrachtung zur Notwendigkeit der Verwendung von SSL siehe Artikel "Sollte HTTPS für den Registrierungsdienst für Netzwerkgeräte (NDES) verwendet werden?".