Ihr Leitle freit Eich…


Seit einigen Wochen häufen sich gewisse Anfragen bei bzw. an uns… Verunsicherte Leute berichten ganz aufgeregt von E-Mails, die ihnen Provider wie 1&1 oder Telekom/T-Online zugesandt haben…

Darin ging es um die Umstellung auf SSL/TLS. Ich weiß nicht, wie oft ich erklären mußte, daß Benutzer von Webmailern gar nichts machen müssen… Wenn man allerdings einen Mail-Client (“Was ist das denn?” “Ein Mail-Programm…” “Häh?” “So was wie Outlook Express…” “Achso… – nö, das nutze ich nicht, das ging ja nie…”) nutzt, muß man die Ports ändern…

Bislang nutze man wohl meist Port 25 für SMTP, 110 für POP3 und 143 für IMAP. Dadurch erfolgte die Kommunikation im Klartext – jede Mail war sozusagen fremd- bzw. mitlese-gefährdet… Ergo: Unsicher! Doch das ist nun vorbei. Irgendwann wird das E-Mailen über diese Ports nicht mehr klappen.

Vorteil: Man bekommt keinen Spam mehr – ist das nicht ein Grund zur Freude?
Nachteil: Man bekommt gar keine Mails mehr… ;-)

Nun also die Umstellung auf SSL/TLS – damit erfolgt die Kommunikation verschlüsselt! Ein potentieller Mitleser würde nur noch Zeichensalat sehen…

Je nach Anbieter gibt es einige kleine Unterschiede:

Freenet:
SMTP: 587, TLS
IMAP: 143, TLS
POP3: 995, SSL

T-Online:
SMTP: 465, SSL
IMAP: 993, SSL
POP3: 995, SSL

1&1:
SMTP: 587, Automatisch oder 465, SSL
IMAP: 993, SSL
POP3: 995, SSL

Goneo:
SMTPS: 465, SSL
IMAPS: 993, SSL
POP3S: 995, SSL

usw.

Ob das auch der NSA der Zugriff erschwert?
Ganz bestimmt!
Also los, alle freuen! ;-)

Freude hält nicht ewig an…


Ich dachte bislang immer, daß ich der weltgrößte Nörgler sei… Da habe ich mich aber wohl geirrt. Es gibt Menschen, die zu Hause hinter dem Rechner sitzen und den ganzen Tag Protokolle bzw. Logdateien lesen, ob wieder Chinesen auf dem Rechner waren. Also Firewall bis zum Anschlag! Angst vor Javascript und Cookies runden das dann ab – Amazon und Google könnten sonst herausbekommen, daß sie nichts herausbekommen sollen. Au weia! Spaß und Komfort im Netz sind schädlich – die ganze Welt will einem nur an den Kragen. Und wenn ich mir heute online einen Dildo bestelle, fühle ich mich ja total ausspioniert, wenn der Online-Sex-Shop mitbekommt, daß ich Sex-Spielzeug kaufe. Wenn die mir dann nächstes Mal personalisierte Werbung für passende Batterien schicken, gleicht das dem Weltuntergang: Der gläserne Bürger ist dann Realität! Wenn ich aber alles ausschalte und mir dann bei Amazon ein Buch hole, werden die niemals auf die Idee kommen, daß ich lese. Wie auch…

Sicher – es muß für alles Grenzen geben. Es steht mir aber auch frei, einen Rechner mit sensiblen Daten nicht ins Netz zu stellen. Es ist einzig und allein mein Verschulden, wenn irgendwas ins Netz gelangt, was da nicht hingehört. Denn ich bin der, der die Daten auf den Rechner packt.

Vielen ist mittlerweile egal, was von Ihnen im Netzt kursiert; diese Typen schreien nur nach Datenschutz, weil es eine Modeerscheinung ist. Und 10 Minuten später posten sie bei Facebook Fotos ihrer Kinder. Andere sind da schon etwas vorsichtiger und handeln bedachter. Doch bei der dritten Gruppe kann man es nur Paranoia nennen. Erst recht, wenn man als Mitglied dieser Gruppe alles verweigert: Windows, WordPress, Typo3 usw. Es ist alles schlecht, selbst kann man alles viel besser – sitzt aber, anstatt Karriere zu machen,  zu Hause hinter dem Rechner und fängt 24/7 kleine Chinesen, die durchs WAN huschen…

Eigentlich ist es nicht meine Art, hinter dem Rücken von anderen zu lästern – zumindest nicht, wenn ich sie kenne. Aber heute wurde ich echt sauer, als ich das Gesichtsbuch aufklappte. Daher muß ich mal Luft ablassen – und lasse mich ausnahmsweise mal auf dasselbe Niveau herab und lästere hier. Mit einem Unterschied: Ich schicke dem Kollegen Zugangsdaten zum Blog – dann kann er sich dazu äußern. Ich bitte sogar darum.

Worum geht es? Nach langem Hin und Her hat der Online-Shop von HBZ Branse die Trusted-Shop-Zertifizierung geschafft. Dazu muß man wissen, daß der Shop eine Entwicklung von OSG Neue Medien ist; daß der Betreiber E/D/E heißt und dieser Shop nur gemietet wurde. Als “Administrator” hat man eigentlich nur die Möglichkeit, den Shop wie ein CMS zu nutzen. Es existieren Schnittstellen, um Artikel von E/D/E zu importieren; theoretisch hat die Software von OSG auch eine Vorzertifizierung von Trusted Shops. Theoretisch. Es war trotzdem viel Arbeit, sich durch teilweise widersprüchliche und konfuse Anleitungen und Fehlerprotokolle zu wuseln – aber wozu gibt es EiTiCo? Wir beraten HBZ ja nicht umsonst.

Ergo: Die Zertifizierung hat geklappt, wobei für uns von vornherein SSL auf der Tagesordnung stand. Kommt wahrscheinlich auch noch – das ist man seinen Kunden schon irgendwie schuldig. Es fehlt eigentlich nur noch der Auftrag vom Chef. Trotzdem ist SSL keine Voraussetzung für eine TS-Zertifizierung. Punkt. Darum – und um nichts anderes – ging es. Niemand hat behauptet, daß schon ein SSL-Zertifikat existieren würde. Allerdings ist besagter Facebook-Beitrags-Autor wild dabei gewesen, alles anhand des fehlenden SSL-Zertifikats zu zerpflücken.

Jedenfalls mußte ich beim Stöbern auf Facebook das folgende erblicken (nach den Bildern und etwaigen Texten folgt meine jeweilige Stellungnahme):

404? HBZ? Da war ich etwas erstaunt. Doch dann erst noch der Text dazu – mir fehlten die Worte, was eigentlich nur höchst selten vorkommt:

Die Startseite. {Name des Verfassers} – Ansicht. Natürlich mit speziellen Einstellungen. Und garantiert windowsfrei! Und das mit bestandenem Gütesiegel. Die angebotenen Produkte konnte ich mir mit meinen Einstellungen leider nicht ansehen.

Also sah ich mir das Bild genauer an; mein Blut geriet langsam in Wallung; und ich verstieg mich zu folgendem Kommentar (wie gesagt – wir kennen uns):

1) Es wäre schon nett, wenn Du mich über so etwas informieren würdest. Ich zerpflücke Seiten, an denen Du irgend einen Anteil hast, auch nicht in aller Öffentlichkeit.

2) Wo hast Du den URL http://shop.hbz-branse.de/shop her? Der sollte eigentlich nirgends existieren, wenn da nicht gerade ein Fehler passiert ist.

3) Wenn Du hingegen eine manuelle Eingabe in die Adreßleiste gemacht hast: Was erwartest Du bitteschön, wenn Du eine nicht existente Seite aufrufst? Du hättest ebenso gut http://shop.hbz-branse.de/heiko-tut-gern-wichtig eingeben können – 404 bedeutet, daß die Seite nicht gefunden wurde. Und das finde ich nicht unlogisch, wenn die Seite nicht existiert. Das muß ich Dir doch wohl nicht sagen, oder? Ich denke, Du hast so viel Ahnung?

4) Wenn Du mit Deinen Einstellungen irgendwas nicht siehst, ist das bitte wessen Problem? Vielleicht solltest Du an Deinem Rechner mal die Einstellung “OFF” testen.

5) Wenn das jetzt ein wenig böse klingt: Selbst schuld. STARTSEITE ist nämlich dermaßen falsch, daß ich schon fast geneigt bin, das als Lüge zu bezeichnen. Ich nehme aber alles zurück, wenn Du mir zeigst, wo der Link zu http://shop.hbz-branse.de/shop ist. Ich habe auch nur einen Kopf. Also: Dann mal los – ich warte!

Dann stellte ich fest, daß es noch weiter ging – es existierte ein ganzes Album mit Screenshots:

Text zum Bild:

Ich kann mir nicht helfen. Findet so etwas keine Beachtung? Es is ja nur ein Zertifikat. Halten Sie davon was Sie wollen. Datenschutz sieht bei {Name des Verfassers} aber anders aus!

Antwort (mal davon abgesehen, daß dieser Vorwurf nicht so ganz unbegründet ist):

Ich kann Dir auch nicht helfen. SSL ist nicht Bestandteil oder Kriterium der Trusted-Shop-Zertifizierung.

Und weiter:

Text zum Bild:

Das Zertifikat sagt alles. Vertrauenswürdig? Ja, Ja, Administrator müßte man sein, und in der Administration arbeiten. Wenigstens ist das Zertifikat noch bis 2013 gültig. Natürlich für ne andere Domain. Man lese und Staune. Was liegt dort nahe? Wurde diese Seite schon manipuliert? Das alles nach 2 Tagen der Siegelerteilung?

Antwort (er vergleicht KEIN Zertifikat mit einem anderen Zertifikat…):

Ich glaube schon, daß das Zertifikat was sagt. Allerdings bezweifle ich, daß es DIR etwas sagt. Wie gesagt – SSL ist kein Bestandteil – wäre aber kein Problem, für SHOP.HBZ-BRANSE.DE ein Zertifikat zu installieren. Der CSR ist fertig, Anbieter ist auch schon ausgeguckt. Und die Zahlung ist jetzt schon sicher.

 Sicher? Ja: PayPal und Überweisung. Also keine Bankdaten… Doch weiter:

Text zum Bild:

Das Ding sollte schon etwas taugen, jedenfalls für nen Onlineshop.

Antwort:

Und? Wo ist hier wieder Dein Problem? Der Text ist Standard, ist geprüft und abmahnsicher. Klar, bei Dir wäre das alles besser… Du schaffst nach wie vor nicht, auf Deiner Seite Deine Adresse richtig zu schreiben. Langsam werde ich stinkig…

 So, und dann kam noch das Hauptbild des Beitrages: 

Mein Kommentar:

Jawohl – Zertifizierung geschafft. Aber vielleicht solltest Du mal darüber nachdenken, zwei Zertifikate zu machen. Für den Fall empfehle ich

1) Zertifizierter Lesen-Könner und
2) Zertifizierter URL-Eingeber.

Das würde Dir immens weiterhelfen. Bevor Du mitredest, solltest Du vielleicht mal nachlesen, worum es bei der Trusted-Shop-Zertifizierung geht. Du kennst sicher nur SSL-Zertifikate, oder? Mal davon abgesehen – wir waren schon erstaunt, daß TS kein SSL voraussetzt. Trotzdem ist das TS-Zertifikat gültig. Oder geht das über Deinen Horizont?

Sicher, das war nicht die feine englische Art. Aber: Einen Hinweis oder ein paar Fragen im Rahmen konstruktiver Kritik hätte ich durchaus begrüßt. Aber nicht so was!

Ich bin ja mal gespannt, ob er mich jetzt aus der Freundesliste schmeißt… Aber ganz ehrlich: Wer selbst kritisiert, sollte auch Kritik abkönnen. Deswegen werde ich ihn auf diesen Beitrag hinweisen. Mal sehen, ob er sich dazu äußert…

Das Scharping-Syndrom


Laaaaaang-saaaaaaam! Ja, Dicke sind langsam. Mein Lieblingsspruch. Und da wir bekanntlich sehr dick sind, sind wir wohl schlußendlich auch sehr langsam – sollte man zumindest meinen. Und ehrlich gesagt: Ich glaube es ja selbst fast schon.

Denn selbst ist der Mann. Da mir das mit dem Glauben aber eigentlich nicht so liegt, bin ich also eher dafür, daß man selbst etwas wisse. Denn Wissen ist Macht – nicht Glauben.

Doch was weiß ich? Hm… Ist es nicht eher, daß man lediglich glaubt, etwas zu wissen? Doch schon beißt sich die Katze in den Schwanz – und wir sind keinen Schritt weiter. Also hören wir auf zu philosophieren und widmen uns Tatsachen.

Andere glauben oder glauben zu wissen, daß wir nicht aus dem Pott kommen (1), weil speziell ich für meinen Teil zu gemütlich wäre (2). Dabei ist „1“ eine Annahme, die auf der Tatsache „2“ beruht. Ok – nachvollziehbar.

Eine weitere Tatsache ist, daß ich nie Zeit habe. Und dabei sind meine Tage doch (wie bei allen anderen auch) 24 Stunden lang – eine weitere Tatsache. Daher bleibt mir nur die Annahme übrig, daß ich irgendwas falsch mache.

Warum komme ich also nicht dazu, EiTiCo ins Netz zu stellen? Das ist mal ein Auszug aus der Anrufliste:

17.07.12 21:47   A   01xxxxxxx    0:03
17.07.12 17:27   E   01xxxxxxx    0:02
17.07.12 16:45   E   unbekannt    0:25
17.07.12 16:44   E   66xxxxxxx    0:09
17.07.12 16:20   A   01xxxxxxx    0:03
17.07.12 16:15   A   01xxxxxxx    0:05
17.07.12 15:40   E   03xxxxxxx    0:03
17.07.12 15:39   AA  03xxxxxxx    0:00
17.07.12 15:28   E   03xxxxxxx    0:09
17.07.12 14:31   E   03xxxxxxx    0:08
17.07.12 14:30   AA  03xxxxxxx    0:00
17.07.12 13:39   A   03xxxxxxx    0:01
17.07.12 12:23   E   03xxxxxxx    0:01
17.07.12 10:30       Außeneinsatz 1:50
17.07.12 10:20   E   03xxxxxxx    0:02
17.07.12 09:49   E   03xxxxxxx    0:07
17.07.12 08:57   E   03xxxxxxx    0:03
17.07.12 08:36   A   67xxxxxxx    0:13
17.07.12 08:33   A   03xxxxxxx    0:01
17.07.12 02:20       DSL-Ausfall  2:45
17.07.12 02:15   E   unbekannt    0:00
17.07.12 01:51   A   88xxxxxxx    0:01
17.07.12 01:42   E   unbekannt    0:00
16.07.12 21:35   E   66xxxxxxx    0:10
16.07.12 17:36   A   01xxxxxxx    0:01
16.07.12 12:55   E   03xxxxxxx    0:06
16.07.12 11:10   E   03xxxxxxx    0:10
16.07.12 10:29   E   03xxxxxxx    0:40
E - eingehend    A - ausgehend    AA - Anruf in Abwesenheit

Ich – also der o.g. “Gemütliche“ – will mich ja nicht beklagen. Es ist ja nicht so, daß ich jetzt übermäßig viel telefonieren mußte. Aber: In einigen Fällen durfte ich als Folge des Telefonats dieses und jenes raussuchen und nach Timbuktu mailen – es hing sozusagen noch ein Schwanz daran. Und Konzentration ist auch ein Thema für sich, wenn es dauernd klingelt. Hinzu kommen auch noch triviale Tätigkeiten aus anderen Lebensbereichen wie Zubereiten, Vertilgen, Verwerten und Verklappen von Futtermitteln – EiTiCo ist zwar mein Leben – aber nicht ausschließlich. Und: In dieser gesamten Zeit habe ich noch kein Auge zugetan. Ich durfte nebenbei einen Apache Webserver auf Linux aufsetzen, nachdem ein apt-get dist-upgrade ziemlich fehlerbehaftet meine letzten Nerven kostete – aber auch erst, nachdem ich mich krampfhaft und gezwungenermaßen an „sources.list“, „interfaces“ und „resolv“.conf erinnert habe, um überhaupt was im Netz zu finden.

Dann – ja, gerade dann (!) – noch fast 3 Stunden DSL-Ausfall, auf die ich später noch eingehe. Hinterher durfte ich noch Zertifizierungsanforderungen (CSR) kreieren und mich mit der Frage befassen, was bei CN, O, C, S, L reinkommt.

CN – „YOUR name“ ist also die Domain. Oder eben die IP – je nachdem, was man braucht und was man will. Aha! Aber „section“? Etwa das ominöse Leerfeld mittels ’.’? Leichter ist da noch „optional company name“ – und das alles unter dem über einem schwebenden Damoklesschwert, das auf einen niederzusausen droht, wenn man vom WHOIS-Eintrag beim DENIC abweicht… Wenn man erstmals ein Cert erstellt und den OpenSSL-Dialog nicht kennt, stellt man irgendwann fest, daß man weder Domain noch IP vermerkt hat, weil man hinter „name“ „Name“ vermutet hat. Hauptsache man tippst 2 x eine PassPhrase ein, die kein Mensch jemals wieder benötigt. Das erste Zertifikat bzw. zumindest der erste CSR ist also für die Katz. Aber man erstellt ja gleich das selbst signierte Testzertifikat, weil einem beim Klick auf das „server.cert.crt“ alles so schön angezeigt wird – und das sogar unter Windows.

Stolz nimmt man seinen 1024-bit-CSR und dackelt virtuell zur Certification Authority bzw. zum Cert-Dealer – die bzw. der einem erzählt, daß es doch bitteschön mindesten 2048 und höchstens 4096 bit zu sein hätten…

Also alles wieder auf Anfang. Und dieses Mal bitte auch mit Domain. Oder doch mit der IP?

Denn wofür benötigt man ein Zertifikat, wenn die Domain bei Anbieter A und der Webspace mit dem Shop bei Anbieter B liegt (bitte nicht diskutieren – Kundenvorgabe!)? Domain oder IP? Ok, installiert wird es beim Apachen von B – das ist klar…

Und was ist mit Multidomain-Zertifikaten, wenn auf dem Server C mehrere vHosts laufen? Jedenfalls kann man sich damit schon ein paar Stunden befassen…

Vor allem: Welche BEZAHLBAREN Anbieter gibt es? Evtl. http://www.psw.net mit 4,9 v. 5,0 Sternen bei 54 Bewertungen? Wenn man allerdings die Variante mit der zu zertifizierenden IP durchspielt, stellt man fest, daß man für PSW die E-Mail-Adresse admin…, root…, postmaster… oder hostmaster@IP-Adresse besitzen sollte. Na ja… Aber es gibt schlimmeres – z.B. kein DSL. Und da bräuchte man schon einen „Wishmaster“…

Denn wenn es nachts kalt, im Dunkeln naß oder bei Feuchtigkeit laut ist, weil gerade ein LKW über die Straße mit der vermoderten DSL-Leitung fährt, hat es sich ausge-de-es-elt. Vielleicht ist auch zufällig gerade Mäuse-Party im HVT, weil es draußen so ungemütlich ist. Irgendwas ist jedenfalls faul. „Kein DSL“ stimmt eigentlich auch nicht – es ist ein PPPoE-Fehler. Zeitüberschreitung.

Wäre man jetzt beim Rosa Riesen, riefe man an und bäte um einen Portreset. Ist man allerdings beim Blauen Zwerg, der sich auch ganz gern 1 mal hier und 1 mal dort als Blauer Riese aufspielt, hat man mit viel Pech einen FRITZ!Box-Firmware- und Verkabelungscheck mit einer russischen Gesprächspartnerin vor sich – obwohl die Box 9 Monate lief, funktionierte und nichts geändert wurde.

In solchen Fällen hilft manchmal ein extrem genervt und gleichzeitig gelangweilt klingendes „… an der Box nichts geändert… mal wieder der obligatorische PPPoE-Fehler, Zeitüberschreitung… mal bitte wieder resetten!“ Vielleicht hat man ja Glück – vorausgesetzt, man spult das ab, bevor die Gegenseite loslabern kann. (Aber immer daran denken: Natascha und Tatjana können nichts dafür, die verdienen da auch nur ihre Brötchen.)

Jedenfalls ist es hilfreich, die aktuelle FW 29.04.87 zu kennen, wenn nach der aktuellen Version gefragt wird. Gäbe ich nämlich zu, daß eine getunte 29.04.57 auf der Box werkelt, schickt man mir wohl erst eine CD mit der neuesten Firmware…

Aber nun kommt der eigentliche Clou: Man resettet die Box – in der Hoffnung, daß sie sich wieder richtig verbindet. Sogar mehrfach. Man wartet – und wiederholt das Procedere. Nun weiß ich nicht, ob ich schon ein paar mal Glück hatte oder ob ich wirklich eine kleine Wunderwaffe besitze – als letzter Schritt vor dem Support-Anruf hatte bei mir – vielleicht wirklich nur rein zufällig – folgendes Vorgehen Erfolg – und das eben bereits mehrfach:

DSL-Kabel aus dem Splitter raus »»» LAN-Kabel an den Splitter »»» daran ein altes Modem a la Teledat 300 LAN »»» LAN-Kabel ran »»» bei LAN-1 in die FRITZ!Box »»» im Zugangsdatenbereich der Box von „Internetzugang über DSL“ auf „Internetzugang über LAN 1“ umstellen »»» FRITZ!Box resetten »»» DSL ok !!! (Danach kann man alles wieder in den Normalzustand versetzen, um Strom zu sparen…)

Das hat bisher doch tatsächlich schon 3 oder 4 mal funktioniert. Nach der Umbau-Aktion jeweils nach spätestens 5 min DSL! Vielleicht nur Zufall – denn wenn der Port im HVT abschmiert, ist er tot – da kann ich hier ein Atomkraftwerk oder eine Kaffeemühle an die Dose klemmen.

Ehrlich? Ich weiß es nicht. Aber an Zufälle und Glück mag ich nicht glauben – ich möchte lieber wissen, warum und wieso…

So, nun habe ich hier seit etlichen Stunden wieder DSL – doch was mache ich jetzt? Ich werde jetzt meine Geleemurmeln pflegen und in die Heia hopsen. Und EiTiCo? Dauert wohl noch ein wenig – man kommt ja zu nichts ;-) ;-) ;-)