Download von UCS via https

UCS - Univention Corporate Server
, , ,
#1

Hallo,

ich habe mal eine, vielleicht etwas komische, Frage zum Download von UCS:

Wenn ich es richtig sehe, wird standardmäßig der Download von UCS via http durchgeführt. Wenn ich ein https vor die URL schreibe kommt der Hinweis, dass das Zertifikat nicht auf die entsprechende URL ausgestellt ist. Beim Ersetzen von http://download.univention.de/… in https://updates.software-univention.de oder https://software-univention.de, kann scheinbar der Download via https durchgeführt werden, ohne eine Sicherheitsausnahmeregel im Browser hinzuzufügen.

Nun meine Frage: Ist es wahrscheinlich/möglich, dass der Download auf dem Weg irgendwie verändert werden kann, wenn dieser nicht verschlüsselt übertragen wird? Würde so etwas auffallen wenn die md5 Summe nicht übereinstimmt?

#2

Guten Abend,

wo steht denn der Link zu http://download.univention.de/?
Wenn ich diesen Host ohne weiteren Pfad aufrufe kommt sofort ein Rewrite zu http://updates.software-univention.de/. Und für diesen Hostname gibts ja ein passendes Zertifikat.

Bei http anstelle https wäre es in der Tat möglich, dass ein Mann in der Mitte z.B. Ihr DNS vergiftet und Ihnen einen anderen Server als (derzeit 176.9.114.147 bzw. 2a01:4f8:151:6489::2) mit einem anderen Inhalt anbietet. https hilft da nur insofern, als Sie am Zertifikat prüfen könnten, ob dieses für “Univention GmbH” ausgestellt wurde. Ob dies wahrscheinlich ist, hängt sicher auch etwas davon ab, wie interessant die UCS-Nutzer für Angreifer sind.
Und wenn diese Anwender sich die Mühe machen, angepasste ISOs zu bauen werden die sicher auch passende MD5s hinlegen.

Viele Grüße,
Dirk Ahrnke

#3

Hallo,

danke für die Rückmeldung.

Der Link Link zu http://download.univention.de/… steht aktuell auf den Downloadseiten der UCS ISO- und VM-Images (https://www.univention.de/download/ucs-download).

Der Downloadlink für zum Beispiel das ISO-Image unter https://www.univention.de/download/ucs-download/iso-installationsimage/download-iso-image/ zeigt auf http://download.univention.de/download/images/UCS-Installation-amd64.iso

Ich habe jetzt nicht nachgeschaut, aber in der source.list steht https://updates.software-univention.de, richtig?

#4

Hallo,

ich habe gerade einen Hinweis, Protokoll und Host zu ändern an feedback@univention.de geschickt.

Zur Frage:
Auf meinem als erstem erreichbaren System steht:

# ucr search repository/online/server
repository/online/server: https://updates.software-univention.de/
 The repository server from which software packages are retrieved. If the variable is unset, <https://updates.software-univention.de/> is used. If an URI is given instead on a hostname, this also overwrites '.../port' and '.../prefix'.

Randnotiz: Pakete (oder die Quellen) sind m.E. auch signiert. Sollte da jemand dazwischenfunken ist das etwas komplexer, glaub ich.

Viele Grüße,
Dirk Ahrnke

Mastodon