NGINX

Nginx: OCSP stapling aktivieren

Wer mit SSL Zertifikaten arbeitet weiß auch das diese irgendwann ablaufen oder für ungültig erklärt werden können. Damit dies auch jeder Browser und jedes Betriebsystem mitbekommt, wurde die CRL (certificate revocation list; Zertifikatsperrliste) erfunden. Leider werden diese Sperrlisten von den Betriebssystem nur in bestimmten Zeitabständen abgerufen. Wird ein Zertifikat heute für ungültig erklärt und die Betriebssysteme haben es noch nicht mitbekommen, weil sie die CRL von der CA erst morgen aktualisieren werden, bleibt das Zertifikat bis dahin gültig.
Aus diesem Grund wurde OCSP (Online Certificate Status Protocol) entwickelt. Durch das Netzwerkprotokoll ist es Clients möglich durch eine Anfrage beim OCSP-Responder (meist ein Server vom Root CA Betreiber; URL steht im Zertifikat) nachzufragen ob das Zertifikat noch gültig ist oder nicht. So bekommt der Client die aktuellen Sperrinformationen geliefert.
OCSP stapling lässt dich bei Nginx mit folgenden Zeilen in der „nginx.conf“ aktivieren:

# aktiviert OCSP stapling
ssl_stapling on;
# aktiviert die Überprüfung
ssl_stapling_verify on;
# Trusted Certificate
ssl_trusted_certificate /etc/nginx/ssl/alphassl.pem;

Sollte man mehrere Zertifikate auf dem Webserver zu Verfügung stellen, dann sollte man die Einstellungen in die entsprechende „http“-Konfiguration schreiben.
Die Datei für „ssl_trusted_certificate“ muss man manuell im PEM-Format erstellen. Dabei besteht die Datei aus den Zertifikaten des jeweiligen Anbieters, welche man auf deren Website bekommt. In einigen Fällen werden diese Zertifikate auch bei der Beauftragung des SSL-Zertifikats mitgeschickt. Wichtig: Damit die Überprüfung auch wirklich funktioniert müssen in die „ssl_trusted_certificate“ Datei das Root-Zertifikat und alle Intermediate-Zertifikate rein!

Continue reading…

HHVM (Logo)

HHVM Installation

Am Wochenende mal wieder mit was neuem beschäftigt: Diesmal war es HHVM. Es ist fast ein halbes Jahr her als ich das erste Mal etwas von HHVM gehört habe. Für einige wird das immer noch Neuland sein.
HHVM steht für Hiphop Virtual Machine for PHP. Wie HHVM funktioniert kann man bei Wikipedia nachlesen. Facebook hat diese alternative PHP Umgebung entwickelt und setzt diese auch aktiv ein. Der größte Vorteil an HHVM ist, es ist deutlich schneller als die normale PHP Version ist.
Einziger Nachteil: HHVM hat einen eingeschränkten Funktionsumfang. Dadurch funktioniert nicht jeder PHP-Code unter HHVM.
Wer es trotzdem mal ausprobieren möchte, dass kurze Video zeigt kurz wie es geht:
[youtube=https://www.youtube.com/watch?v=1mxry6KRBEQ]

Für Ubuntu 12.04 (amd64):

# If this command is not found then do this: sudo apt-get install python-software-properties
sudo add-apt-repository ppa:mapnik/boost
wget -O - http://dl.hhvm.com/conf/hhvm.gpg.key | sudo apt-key add -
echo deb http://dl.hhvm.com/ubuntu precise main | sudo tee /etc/apt/sources.list.d/hhvm.list
sudo apt-get update
sudo apt-get install hhvm

Ein normales WordPress (3.9) Blog rennt wie Sau …