Onze CFP is geopend! [Evenement] [CFP-portaal] [CFP details en tips]

FTP-server: ftp.nluug.nl standaard redirect naar HTTPS

Gepubliceerd op 17-12-2024 door Mark Janssen. Artikel bijgewerkt op 17-12-2024

De FTP-server van de NLUUG heeft sinds zijn herinstallatie al het inkomende http-verkeer een redirect gestuurd naar https. Dit is (en vinden wij als beheer-commissie) een zeer goed idee. We zien graag dat websites een 100% score halen op de tests van internet.nl en ssllabs.com, zo sturen we ook een HSTS-header mee in alle requests naar onze website(s), zodat browsers bij vervolg-bezoeken direct naar de HTTPS-versie van de websites gaan.

Deze instelling gaf echter problemen voor sommige distributies, zoals Debian en afgeleide distrbuties (Kali), die schijnbaar nog altijd niet out-of-the-box HTTPS ondersteunen voor package-downloads. In het geval van deze distributies is dat op te lossen met apt install apt-transport-https.

De beheer-commissie was dus al een aantal maal gevraagd om deze instelling ongedaan te maken, echter vonden wij dit geen geschikte oplossing. Nu net is er een workaround uitgerold, die hopelijk voor alle partijen een geschikt resultaat oplevert. We sturen nog altijd al het HTTP-verkeer direct door naar het HTTPS-endpoint, maar met één enkele uitzondering, verkeer komende van ‘apt’, geïdentificeerd met de ‘APT+HTTP’ string in de user-agent header redirecten we naar een nieuwe vhost: “insecure.nluug.nl”.

if ($http_user_agent ~* "APT-HTTP") {
    rewrite ^/(.*)$ http://insecure.nluug.nl/$1 permanent;
}

Mocht je nou perse unencrypted het archief willen benaderen, dan kan je die URL dus ook in je browser of client opgeven, maar voor apt is de redirect verder transparant. Iedere normale webbrowser zal dus gebruik blijven maken van https.

De debian (of Kali) gebruikers die hun sources.list file hebben aangepast en de repo via HTTPS benaderen zullen ook via HTTPS hun packages kunnen (blijven) downloaden, maar de gebruikers met de default ‘http’ instelling zullen ook nog altijd hun packages kunnen downloaden, maar zien in de output van apt hooguit dat de verzoeken via ‘http://insecure.nluug.nl’ gaan.

We kunnen als beheer commissie verder alleen de hoop en wens uitspreken dat Debian en Kali het licht zien, en na jaren dan toch eindelijk ‘apt-transport-https’ opnemen in de default installatie en install-images, zodat iedere debian-user direct packages kan installeren zonder risico op Man-in-the-Middle aanvallen.

Vragen of opmerkingen over de FTP-server, of wil je een project laten opnemen als mirror? Contacteer ons FTP-beheerteam. Voor vragen over de server-inrichting kan je terecht bij de de beheer-commissie

Foto van Koen de Jonge
Koen de Jonge
Foto van Mark Janssen
Mark Janssen
Foto van Mike Hulsman
Mike Hulsman

Tags