Manuelle SSL Zertifikate wohin auf Non-root Webserver?

[borartr]

Hallo zusammen, habe ein SSL Zertifikat mit LetsEncrypt / Certbot erstellt. Da ich keinen Rootzugriff habe erfolgte die Erstellung Lokal, DNS Acme_challenge nach einigem Hin und Her nun auch endlich erfolgreich. certbot schließt erfolgreich ab und liefert mir alle benötigten Dateien, verzieht sich dann jedoch sofort ohne weitere Instruktionen.
Ich habe also alle Dateien
cert.pem chain.pem fullchain.pem privkey.pem
weiß aber nicht wie weiter.
Wie gesagt der Server ist nicht root, per Monsta-FTP mir zugänglich. habe die Dateien mal testweise (da die naheliegendste Lösung) im Webroot (da wo auch die index.html liegt) reparkt, dort erfülllen sie jedoch scheinbar nicht Ihren Zweck, HTTPS funktioniert nicht.

Was ist zu tun?

 

[up.whatever]

Wenn du deinen private Key im webroot zum Download angeboten hast, kannst du gleich dein Zertifikat zurückziehen lassen und mit einem neuen private Key von vorne anfangen.

Edit: Zu deiner eigentlichen Frage: Die Dateien, insbesondere der private Key, müssen an einem sicheren Ort abgelegt werden, wo sie niemand unberechtigt lesen kann. Dann muss in der Webserver config darauf verwiesen werden. Wenn du keinen Zugriff auf die Webserver config hast, kannst du auch kein Zertifikat einrichten.

 

[madmax2010]

wem gehoert der server? ist es nur ein gemieteter Websipace?

Hinlegen kannst du die wo du willst, so lange das verzeichnis nur fuer den relevantenn user lesbar ist und nicht von irgendetwas jemals im internet bereitgestellt wurde.
Das aktuelle Cert solltest du jedenfalls revoken.
Sowas auch bitte niemals ueber unverschluesselte verbindungen schicken. Mindestens FTPs

 

[plami]

Möglicherweise hast du über die Weboberfläche deines Webhostinganbieters die Möglichkeit, ein Zertifikat hochzuladen, besser wäre es, wenn dieser gleich Let's Encrypt anbietet, da die Zertifikate regelmäßig erneuert werden müssen. Ansonsten wirst du keine Möglichkeit haben, Let's Encrypt zu verwenden, weil dazu normalerweise die Konfigurationsdatei des Webservers verändert werden muss, was du nur auf einem Rootserver kannst.

Außerdem, wie mein Vorposter schon geschrieben hat, solltest du das jetzige Zertifikat zurückziehen lassen, weil wenn der Private Key im Webroot lag konnte er theoretisch von jedermann heruntergeladen werden und damit ist dieser nicht mehr sicher.

 

[borartr]

Die privkey.pem ist als rw------- drin. Die anderen standardmäßig rw-r--r--
Aber nutzt das etwas?

Mein Anbieter in INWX, bei dem ich auch das Hostingpaket bestellt habe.
Dedizierte Hochlademöglichkeiten für Zertifikate habe ich nicht gesehen, auf der Letsencrypt-Supportliste steht er auch nicht.
Es muss doch aber auch so eine Möglichkeit geben oder?

Edit:
Ok danke für eure Hinweise auf die notwendige Konfigurationsdatei. Ich frage mal nach ob man die irgendwie verändern kann. Wenn nicht muss ich dann scheinbar die angebotenen Zertifikate direkt dort kaufen, oder zu einem LetsEncrypt Hoster wechseln. War mir vorher nicht klar, also danke für die Info.

 

[kartoffelpü]

Hört sich erst mal so an, dass der Anbieter nur Zertifikate unterstützt, die über die eigene Seite gekauft wurden: https://kb.inwx.com/index.php?solution_id=1282

 

[madmax2010]

wenn der owner nun www-data ist, hast du es dem internet bereitgestellt und kannst davon ausgehen das es nun ein backup gibt.

rw = read write
[owner]-[group]-[others]
[rwx]-[rwx]-[rwx]

wenn du dem webserver kein SSl konfigurieren kannst, sondern nur einen webspace hast bringt dir kein zertifikat was. INWX scheint doch dazu bringen zu wollen, dass du bei ihnen Zertifikate kaufst.

Kuendige den webspace, miete dir irgendwo eine kleine vm fuer 2 Euro im monat und lern den ganzen stack wenn du Lust darauf hast, oder miete bei einem Anbieter, der sich um deine Zertifikate kuemmert.
Die Domain kann bei INWX bleiben.

https://www.hetzner.com/de/webhosting

 

[Cordesh]

Die bieten das doch direkt auf ihrer Homepage an, kostet halt ganz schön viel bei denen.
Meiner (all-inkl.com) macht das kostenlos.

 

[borartr]

Ich befürchte auch, dass Kaufen als einzige Option gelassen wird, habe aber nun nachgefragt und melde mich nochmal sobald ich eine Antwort erhalte.

@madmax2010 Owner ist nicht www, grade nochmal live getested, bekomme übers web ein 403 forbidden bei der rw------- Datei.

 

[snaxilian]

sollte trotzdem nicht dort liegen...
Bei Webhosting Angeboten muss derjenige das Zertifikat eintragen, der den Webserver verwaltet. Das bist in diesem Fall nicht du, sondern der Anbieter. Nicht jeder Anbieter unterstützt let's encrypt weil das ein nettes Nebenerwerb ist wo man als Anbieter Provision abgreifen kann bei minimalem Aufwand.
Trotzdem für dich ärgerlich, zumal inwx.de ein ziemlich guter DNS Provider ist und im DNS Bereich eine gute API hat, zu der es viele gute Skripte etc. gibt in Kombination mit let's encrypt.
Dir bleiben defacto nur zwei Optionen: Den Preis für die Zertifikate zahlen oder was vermutlich günstiger ist, einen anderen Anbieter suchen, der let's encrypt bei seinem Webhosting anbietet/unterstützt.

 

[Poati]

Da kannst du nur nach den Regeln des Anbieters spielen. Da du schon ein Zertifikat quasi verbrannt hast, mit der Ablage des Keys, ist es eventuell auch gar nicht so verkehrt, wenn der Server erstmal nicht vollumfänglich von dir administriert wird. Kannst dich auch so erstmal noch genug mit der Thematik beschäftigen.

Wenn du später komplett nach deinen Regeln spielen willst, dann mietest du dir einen nackten Root-Server und hast dort die volle Kontrolle. Mit allen Vor- und Nachteilen.

 

[borartr]

Ok Antwort ist LetsEncrypt wird nicht zugelassen (fehlende Unterstützung heißt ja prinzipiell oft, dass man es doch irgendwie noch selbst erledigen kann). Habe mir nun einmal das günstigste Zertifikat geholt, ein Jahr 19€, weil das kurzfristig wahrscheinlich in Kosten+Aufwand günstiger als Hostingwechsel. Auf längere Sicht, und je nachdem wie viel noch dazu kommt (aktuell habe ich z.B. noch einen Blog, und ein paar Domains tbd für diverse Projekte), würde ich dann wahrscheinlich doch Hosting auslagern, abhängig davon was davon ssl braucht.

 

[I'm unknown]

Wenn du in Suchmaschinen nicht weiter unten gelistet werden möchtest oder ein Problem damit hast dass dauerhaft unsicher dran steht ist ein Zertifikat unumgänglich. Unverschlüsselte Seiten werden immer mehr "diskriminiert" und das ist gut so.

 

[borartr]

Die (Suchmaschienen-)Diskriminierung stellt in der Tat einen weiteren Aspekt dar, den es zu berücksichtigen gilt. Die Regel, Verschlüsselung grundsätzlich für alles zu nutzen/fordern finde ich ebenfalls prinzipiell gut, schon allein aus den zwei Gründen da eine mühsame Abwägung unnötig wird und die Einrichtung i.d.R. eh schnell, unkompliziert und ohne Aufwand (im laufenden Betrieb im Hintergrund) abläuft.

Was den Aspekt Sicherheit angeht ist diese Pauschal-Verschlüsselung jedoch nicht immer nutzbringend. Eine einfache statische Informationswebsite, ohne Kontaktformular oder sonstige Interaktion, hat effektiv keinen Nutzen durch Verschlüsselung, da alle übertragenen INHALTE eh öffentlich sind. Die evtl kritischen Metadaten bleiben auch mit HTTPS lesbar. Abhilfe würde hier z.B. ein VPN schaffen, aber SSL Zertifikate verpuffen in Sinnlosigkeit (Diskrimierung durch Suchmaschienen ausgenommen).

 

[I'm unknown]

hat effektiv keinen Nutzen durch Verschlüsselung, da alle übertragenen INHALTE eh öffentlich sind. Die evtl kritischen Metadaten bleiben auch mit HTTPS lesbar.

Nein, z.B. wird bereits die Ziel-URL verschlüsselt, damit kann jemand von Außen nicht mehr sehen welche Seite aufgerufen wurde.

aber SSL Zertifikate verpuffen in Sinnlosigkeit

Und wenn alles verschlüsselt wird ist ein Angriff umso teurer, da man nicht weiß was man belauschen möchte.

Wird aber OT.

Immerhin hat Lets Encrypt und die weite Verbreitung von https die Preise dafür generell erheblich sinken lassen.

 

[snaxilian]

statische Informationswebsite, ohne Kontaktformular oder sonstige Interaktion, hat effektiv keinen Nutzen durch Verschlüsselung

Du hast einen Nutzen. Manipulation wäre ersichtlich und MitM nicht so einfach möglich.
Integrität der angefragten und übermittelten Daten ist somit sicher gestellt als netter Nebeneffekt von Verschlüsselung.
Klar könnte man dies vermutlich auch auf andere Wege umsetzen aber wozu der Mehraufwand wenn das Ziel 'Integrität' auch mit erledigt ist bei Verschlüsselung?

 

[borartr]

Danke für eure Antworten, vielleicht war meine Aussage "gar kein Nutzen" etwas zu absolut. Nichtsdestotrotz:

SSL kann auch MitM kann (@snaxilian) schwerer machen, aber Schutz davor (im ausreichenden Sinne) bietet es nicht. SSL ist Inhaltsverschlüsselung und erfüllt diesen Zweck gut, aber damit Metadaten+MitM komplett abzuhaken wäre etwas zu gutgläubig.

@I'm unknown
Wie soll die Ziel-URL komplett verschlüsselt bleiben, wenn das Zertifikat erst nach Auflösung dieser überhaupt erreichbar wird? Um zu sehen welche URL aufgerufen wird muss dessen Server gar nicht beteiligt sein, sondern zunächst nur ein DNS (temporäre Aussetzung durch Zwischenspeicherung möglich). Dafür gibt es dann DNSSEC/DNSCrypt als Lösung, aber mit dem SSL-Zertifikat der Website hat das nichts zu tun.
Oder hast du etwas anderes gemeint?

 

[snaxilian]

Ja, ein SSL MitM ist natürlich möglich aber aufwendiger im Gegensatz zu "plaintext der einfacher zu manipulieren ist".
Solange niemand eine einfachere Methode bietet, die Integrität der angefragten Daten sicher zu stellen ist SSL/TLS the way to go.
Auch gegen MitM gibt es Möglichkeiten, dies zu erschweren.

 

[I'm unknown]

Oder hast du etwas anderes gemeint?

Ja - alles was nach der Domain kommt (z.B. abc.xyz.com/HIER_WILL_ICH_HIN/?site=top_secret) wird nur abc.xyz.com (bzw. der von dir beschriebene Ablauf) sichtbar. Bei Einsatz von verschlüsseltem DNS sogar nur die Ziel-IP.