Schlagwort: Sicherheit

Verschlüsselung der .env Datei

In modernen Anwendungen wie z.B. Laravel, werden häufig „.env“ Dateien verwendet, um Zugangsdaten für die Datenbanken, API-Token oder andere Zugangsschlüssel zu speichern (siehe https://dotenv.org/). Dies hat den Vorteil, dass diese nicht im Quellcode der Anwendung hinterlegt werden müssen und so an einer zentralen Stelle gespeichert werden. Außerdem kommen sie so nicht in die Versionskontrolle wo sie ggf. von Personen außerhalb des Projektes gelesen werden könnten.

Sobald ein neuer Wert in dieser Datei hinterlegt wird, muss dieser auch bei allen Entwickler im Team hinterlegt werden oder in die produktive Umgebung eingespielt werden. Gerade wenn es hierfür keinen richtigen Prozess gibt, wie die Zugangsdaten dann verteilt werden, könnte dies wieder unsicher übertragen werden. Vielleicht wird hier eine Rundmail geschrieben oder mit einer Message via Slack, Teams oder gar in WhatsApp verschickt. Und sollten sich die Werte auch nicht in Produktion automatisch oder per Deployment aktualisieren, dann muss hier auch immer händisch noch der richtige Wert hinterlegt werden.

Eine Lösung hierfür kommt von Dotenv selbst und bietet eine Synchronisierung. Doch wer Kosten sparen möchte oder eine Cloud Lösung nicht in Frage kommt, der steht wieder vor dem Ausgangsproblem.

Darum habe ich ein kleines Package gebaut, mit dem man die .env Datei sicher im Repository hinterlegen kann, ohne das es hier zu Bedenken der Sicherheit kommt. Mit dem Package lässt sich die lokale .env Datei sicher verschlüsseln und damit auch in das Repository einchecken. Andere Personen im Team können diese dann auschecken und dann wieder entschlüsseln. Das gleiche geht auch für die produktive Umgebung. So muss nur noch der geheime Schlüssel bekannt sein, welcher nur für ausgewählte Personen im Team bekannt ist.

Das Package findest du wie immer bei GitHub. Es befindet sich noch in der aller ersten Version: https://github.com/TobyMaxham/laravel-envcrypter

Sitealarm: Self hosted Checks

Wir haben ein wirklich cooles neues Feature in unsere Sitealarm App integriert. Es gibt nun die Möglichkeit, eigene Checks zu definieren und diese über unsere API abfragen zu lassen.

Sitealarm kann genutzt werden, um den Status deiner Website zu überprüfen, die SSL Zertifikate zu überwachen und deine regelmäßigen Jobs auf Ausführung zu beobachten. Doch was ist eigentlich mit Serverseitigen Prozessen, auf die Sitealarm keinen Zugriff hat. Wie kann z.B. der Status der Datenbanken oder ob noch genügend freier Disk Space vorhanden ist?

Unser neuer Monitor ruft regelmäßig einen bestimmten Endpunkt bei dir auf und prüft die Antwort deines Systems. Dabei muss kein Skript auf deinem Server von uns installiert werden und wir benötigen auch keinen Zugriff auf deinen Server. In der Rückmeldung von deinem System sind dann die einzelnen Services aufgeführt und haben einen entsprechenden Status. Mehr dazu findest du auch in unserer Dokumentation.

Die Prüfung deiner Services übernimmst du also selbst. Wir validieren dann das Ergebnis und informieren dich, sollte etwas nicht stimmen oder dein Endpunkt nicht erreichbar sein. Es gibt fünf verschiedene Status Typen: ok, warning, crashed, failed und skipped.

Je nach Status bzw. vorherigem Status senden wir dir dann eine entsprechende Mitteilung über den hinterlegten Notification Channel. So verpasst du nie wieder, wenn ein Service in deiner Infrastruktur nicht mehr ordnungsgemäß funktioniert.

I’m nächsten Schritt wollen wir ein Package entwickeln, welches du in deiner Anwendung hinterlegen kannst, damit diese Überwachung automatisch ausgeführt werden kann.

Let’s Encrypt zieht drei Millionen Zertifikate zurück

Der Anbieter für kostenlose SSL-Zertifikate Let’s Encrypt muss drei Millionen Zertifikate zurückziehen. Hintergrund ist ein Bug bei der Prüfung von CAA-Records, die nicht nach den vorgegebenen Regeln stattfand. Darum werden heute, am 4. März, etwa drei Millionen Zertifikate ungültig. Laut Let’s Encrypt entspricht dies etwa 2.6% der ausgestellten Zertifikaten.

Nutzer sollten daher umgehend ihre Zertifikate erneuern. Tatsächlich werden vermutlich weitaus weniger Webseiten davon betroffen sein.

Wir von Sitealarm haben alle Domains, bei denen die Zertifikatsprüfung aktiviert ist, bereits überprüft und alle Kunden entsprechend über die Plattformen informiert.

Wir hoffen das der Rückzug keine Webseiten unerreichbar macht und das Netz damit weiterhin sicher bleibt.

SSL Zertifikate mit Let’s Encrypt

Seit dem Frühjahr 2016 ist Let’s Encrypt aus der Beta Version raus. Viele Sponsoren haben ihre Verträge verlängert und durch eine einfache Implementierung findet es auch immer größer Verwendung.

Das Unternehmen hat sich zum Ziel gesetzt, das Web auf HTTPS umzustellen. Ungeschützte Seiten sollen dann Geschichte sein. Um das zu erreichen haben Sie bereits einen Meilenstein erreicht. Sie sind bereits eines der größten CA auf dem Markt. Zusammen mit den prominenten Sponsoren wie Google Chrome, Mozilla oder Ciso gilt Let’s Encrypt auch weiterhin als sehr vertrauenswürdig. Darum spricht hier auch nichts gegen den Produktiven Einsatz.

Let’s Encrypt. Kostenlos!

Was ich in den letzten Monaten auch beobachten konnte: Viele Hosting-Anbieter bieten zusätzlich zu den Standard Paketen noch einen kostenlosen Service um die SSL-Zertifikate von Let’s Encrypt anzubinden. Wenn man das so sieht wird klar, dass damit die Anzahl an unverschlüsselten Verbindungen tatsächlich abnehmen wird.

Doch warum muss man für andere Zertifikate etwas bezahlen? Nun das hat primär mit zwei Dingen zu tun. Zum einen wird Let’s Encrypt von einigen großen Sponsoren unterstützt. Somit rechnet sich das dann zumindest wieder finanziell. Zum anderen hat es dann doch noch etwas mit der Sicherheit zu tun. Es gibt mittlerweile Zertifikate (z.B. im Bankenumfeld) die eine hohe Verschlüsselung garantieren. Das diese dann nicht günstig oder gar kostenlos sind ist eigentlich klar. Doch auch Let’s Encrypt bietet ein hohes Maß an Verschlüsselung. Der Trend geht auf jeden Fall in die Richtung, das kostenlose Zertifikate angeboten werden. So gibt es diese z.B auch bei CloudFlare und StartSSL.

Ausblick

Für 2018 hat Let’s Encrypt bereits die lang ersehnten Wildcard Zertifikate angekündigt. Somit kann man für alle Subdomains noch einfacher die Zertifikate erstellen.

Ich selbst nutze mittlerweile nur noch die Zertifikate von CloudFlare da ich meine Domains schon darüber konfiguriert habe. Doch wer diese Möglichkeit nicht hat, für den ist Let’s Encrypt wirklich zu empfehlen.

In einem weiteren Beitrag werde ich zeigen, wie einfach die Implementierung zusammen mit der automatischen Verlängerung ist. Dies werde ich an einem Beispiel demonstrieren.