SSL-Zertifikat

Thomas Hirt bot einen Ausblick auf Veränderungen im Umgang mit SSL-Zertifikaten. Unter dem Titel “SSL-Zertifikate bald nur noch 47 Tage lang gültig – Auswirkungen des Diktats der Browser-Hersteller für FileMaker-Entwickler und Admins” spannte er einen weiten Bogen vom Status-Quo über die anstehenden Änderungen bis hin zu den daraus resultierenden Folgen. Ausgangspunkt ist der aktuelle Beschluss des CA/Browser Forums, die maximale Laufzeit von SSL-Zertifikaten schrittweise zu verkürzen, um latenten Sicherheitsrisiken entgegen zu wirken....

Nils Waldherr zeigte eine einfache Methode für die automatische Installation von SSL-Zertifikaten mit dem Tool LEGO. Dabei handelt es sich um einen “Let’s Encrypt/ACME Client” welcher mit einfachen Kommandos die Einrichtung des SSL-Zertifikate bei Let’s Encrypt steuert. Das Tool integriert zahlreiche DNS-Anbieter und automatisiert den gesamten Zertifizierungsprozess einschließlich der ACME Challenge, welche zur Domänen-Validierung benötigt wird. Nils zeigte am Beispiel eines von ihm betriebenen FileMaker Servers die Funktionsweise. Der FileMaker Server triggert per Zeitplan täglich ein Shell-Script, welches zunächst prüft, ob das hinterlegte SSL Zertifikat erneuert werden muss....

Von Armin Egginger kam der Hinweis auf eine Schwachstelle in der Open SSL Library, für die zu diesem Zeitpunkt noch kein Update zur Verfügung stand (CVE-2024-9143). Es handelt sich um eine als niedrig eingestufte Schwachstelle, für Out-of-Bounds (OOB)-Speicherzugriffe, die es theoretisch ermöglichen, dass ein Angreifer Zugriff auf sensible Daten erhält. Open SSL wird auch für die Verschlüsselung der Netzwerkverbindungen zum FileMaker Server eingesetzt. Zudem wird die Library in Linux und zahlreichen anderen Anwendungen verwendet....

Für Entwickler und deren Kunden, die noch FileMaker Server v18 im Einsatz haben stellt sich die Frage nach dem Umgang mit dem auflaufenden Default SSL-Zertifikat, das in Kürze ungültig wird. Als Alternative zu einem gemieteten SSL-Zertifikat bietet sich z.B. die Verwendung eines selbst-signierten Zertifikats an. Seit FileMaker Server v19 ist ohnehin kein Default SSL-Zertifikat mehr vorhanden. Anbei Links mit Erläuterungen zu möglichen Lösungen: https://community.claris.com/en/s/question/0D53w00005a2VO8CAM/fms-18-default-certificate-expiring-soon https://mixable.blog/create-certificate-for-localhost-domains-on-macos/ https://bernhard-schulz.at/ssl-zertifikat-fuer-filemaker-19-server-erstellen-linux-mac-windows/

Jan Hagemeister und Holger Herbst zeigten im Detail, wie ein sauberes Setup für einen lokalen DNS-Server unter Linux eingerichtet wird. Der DNS-Server bildet dabei die Grundlage für Verifizierung einer lokalen Subdomain für den Betrieb eines FileMaker Servers mit SSL Zertifikat. Vorteil der beschriebenen Lösung ist inbesondere, dass bei der Überprüfung des SSL Zertifikats durch FileMaker keine DNS-Abfragen außerhalb des lokalen Netzes verschickt werden müssen, was für unangenehme Verzögerungen sorgen kann. Außerdem sorgt der eigene DNS-Server dafür, dass externe Abfragen für Internetadressen lokal gecached und dann schneller beantwortet werden können....

Jan Hagemeister erläuterte seine Vorgehensweise und seine Erkenntnisse bei der Verwendung eines SSL-Zertifikats auf dem lokalen FileMaker Server. Eine Herausforderung, die sich mit der Nutzung eines SSL-Zertifikats stellt, ist einerseits die Validierung der zugehörigen Server-Domain beim Aussteller des Zertifikats. Weiterhin wird die SSL-Verbindung mit den FileMaker Clients nur dann als gültig vom Server erkannt, wenn die mit dem Zertifikat verknüpfte Domain-Adresse für die Verbindung mit dem FileMaker Server genutzt wird. Dazu ist es erforderlich, die IP-Adresse des Servers aus der Domain auflösen zu können....